我知道 eval 是 PHP 中从输入执行 PHP 代码的函数。现在我想做一个像编辑器一样的 W3Schools。我能做些什么来保护我从 POST 变量中获得的 eval 代码。
$code = eval($_POST["phpusercode"]);
echo $code;
我想做的是什么时候用户会做这样的功能
我想让用户能够在我的网站上编写自己的 PHP 代码,而不会使我的网站容易受到某种黑客攻击。
最佳答案
eval
评估代码,因此,正如@sectus 在评论中所说,执行代码
例如:
eval ("echo 'Hello user'"); //This will execute echo 'Hello user'
所以,在你的情况下,我认为你不想执行你的用户代码,所以请carify你的问题并更新它。
重要的:
eval
非常不鼓励eval
带有参数 POST/GET
没有对它们进行 sanitizer 有用的链接:
When eval is evil
Avoid SQL injection
关于php - 评估 PHP 和安全措施,创建 PHP 演示编辑器,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24526979/