 |
سؤالي ماهو الفرق بين استخدام eval
السلام عليكم
بالله عليكم عندي استفسار .... في نسخة المنتديات vb2.3.0 ليش مرة ألقى على سبيل المثال :
eval("dooutput(\"".gettemplate("bbcode")."\");");
eval("dooutput(\"".gettemplate('maillist_welcome')."\");");
وأحيانا بهذا الشكل
eval("\$welcome = \"".gettemplate('home_unregwelcome')."\";");
سؤالي ماهو الفرق بين استخدام eval ... هي النتيجة ستكون مختلفة يعني
وشكراً:shy:
اخوي على حد علمي الدالة eval تقوم بالجمع بين مخرجات كود html مع متغيرات php مثلا وتخرج نتيجة عبارة عن كود html يحوي متغيرات php وتفضل شوف الشرح الوافي لهذه الدالة مع مثال حي بفهمك ان شاء الله ..
PHP: eval - Manual
والى الامام حبيبي .
__________________
EbNCaNa اخوكم ابن قانا
[درس] قائمة بريدية بأسهل الطرق بواسطة PHP
[توقيعك يجب أن لا يكون أطول من 400 حرف يتضمن تجاوز كود المنتدى] - الى متى المعاناة يا حضرة الأدارة ؟
وعليكم السلام
امر eval يقوم بتحويل ماكتب بدالخه او ارسل له الى كود تنفيذي
راح اعطيك مثال بسيط
هذا كود مكتوب بلغة php بشكل عادي
بسيط جدا عباره عن داله اسمها mohdesign وموجود داخله اطبع hello evil وبعد الداله نستدعيهاكود PHP:<?php
function mohdesign(){
echo "hello evil";
}
mohdesign();
?>
تعال نخلي eval هي اللي تنفذ الامر هذا بدون مانكتب الداله
نفس الامر ولكن eval هي اللي راح تكتبه بالاسكريبتكود PHP:<?php
eval("function mohdesign(){echo \"hello evil\";} mohdesign();");
?>
طبعا يطلقون مثل عليها هذه الداله وهو معروف
"eval is evil" اي امر eval هو شر
الامر هذا خطير جدا جدا لو اخطأ المبرمج في وضعه
مثلا لدينا هذا الامر
وال $msg مرسوله عن طريق ال header اما post او getكود PHP:<?php
eval("$msg");
?>
ممكن ننفذ عملية اختراق هنا بامر بسيط جدا كهذا "كمثال لا اريد التوضيح اكثر"
كود:http://www.site.com/file.php?msg="include(file2.php);"
اذا عند تنفيذ الامر يصبح
الامر له فوائد كثيره وخصوصا الاختصار في كتابة الاكواد والتنفيذ السريعكود://eval("$msg"); eval("include(file2.php);");
وكما قلت لازم المبرمج يهتم اكثر اذا اراد ان يستعمله
ارجو انها واضحه الان
جزاك الله ألف خير عزيزي على التوضيح ...
لكن أنا بصدد عمل سكربت يعمل على نظام قوالب مخزنة في قواعد البيانات ويتم عرضها عن طريق eval فهل هنالك مخاطر من استخداماتها
يعني في توضيح أكثر أو أسلوب معين أمشي عليه حتى لايكون فيه هنالك ثغرات
وشكرا جزيلا لك
طيب أيهما أفضل وأأمن كإستخدام حيث أني أعمل على نظام قوالب مخزنة في قاعدة البيانات mysql
هل eval أم stripslashes
وشكرا لك عزيزي على تعقيبك على موضوعي
للرفع .......
ضوابط المشاركة
رد مع اقتباس