פונקצית PHP נחמדה: eval - עמוד 2 - הוסטס

~~LosNir~~ · 18-12-06, 21:45

דווקא מאוד שימושי,
אם יש לך קוד PHP שמאוחסן במסד, אז אי אפשר לעשות ככה:

PHP קוד:


			
$query = mysql_query("SELECT * FROM table WHERE id=1");

$a = mysql_fetch_array($query);

$a[code];

אז עושים ככה:

PHP קוד:


			
$query = mysql_query("SELECT * FROM table WHERE id=1");

$a = mysql_fetch_array($query);

eval($a[code]);

tnadav · 18-12-06, 21:49

ציטוט:

נכתב במקור על ידי LosNir

דווקא מאוד שימושי,
אם יש לך קוד PHP שמאוחסן במסד, אז אי אפשר לעשות ככה:

PHP קוד:


			
$query = mysql_query("SELECT * FROM table WHERE id=1");
$a = mysql_fetch_array($query);
$a[code];

אז עושים ככה:

PHP קוד:


			
$query = mysql_query("SELECT * FROM table WHERE id=1");
$a = mysql_fetch_array($query);
eval($a[code]);

יכול להיות חור אבטחה פוטנציאלי...

~~LosNir~~ · 18-12-06, 23:41

ציטוט:

נכתב במקור על ידי tnadav

יכול להיות חור אבטחה פוטנציאלי...

איך בדיוק חור אבטחה,
אתה לא יכול להגדיר את המשתנה $a...

ולרומן, לך תדע

**Tomer** · 18-12-06, 23:44

ציטוט:

נכתב במקור על ידי LosNir

איך בדיוק חור אבטחה,
אתה לא יכול להגדיר את המשתנה $a...

ולרומן, לך תדע

מישהו שמכניס לך למסד פקודת system למשל (במידה ו Safe mode OFF)

רומן · 18-12-06, 22:13

למה שמישהו ישמור קוד php במסד, אני ממש בספק, פונקציה מוזרה.

RS324 · 18-12-06, 23:56

ציטוט:

נכתב במקור על ידי רומן

למה שמישהו ישמור קוד php במסד, אני ממש בספק, פונקציה מוזרה.

אתם יודעים שלפחות 50% מהמערכת של VBULLETIN מתבססת על הפונקציה הזאת ?

כל מערכת HOOKS של VB עובדת על EVAL וגם המערכת של הטמפלטים

למי שאמר שזאת אחת הפונקציות הפחות שימושיות - זה רק מראה כמה באמת אתה יודע על PHP

ל TNADAV

תחשוב שבמסד אני מכניס קובץ כזה

שהוא בעצם הטמפלט שלי....

PHP קוד:


			
<html>

<title>$pagetitle</title>

<body onload="$onload">



<div> my username is $userinfo[username]</div>



</body>

</html>

ובקובץ PHP אני עושה משהו כזה..

PHP קוד:


			
<?php



$pagetitle = 'my fucking nice page';

$sitename = 'my site';

 

if ($userid)

{

    //get user info

    $userinfo = get_userinfo($userid);

}

else 

{

    $userinfo = array(

    'userid' =>0,

    'username' =>'Guest',

    'lastvisit' =>'Never',

    );

}



$onload = "alert('Welcome to $sitename');";



require_once('db.php');



$temp = mysql_fetch_assoc(mysql_query("SELECT text FROM template WHERE templatename='index'"));





eval("print ".$temp[text].";");





?>

עכשיו... אם הייתי עושה

PHP קוד:


			
print $temp[text]

לבד אז הייתי מקבל את הקובץ של ה HTML איך שכתבתי אותו למעלה...

אבל ה EVAL הופך את כל הערכים לממשיים ומחליף אותם במה שמוגדר בתוך הדף של ה PHP

עוד דוגמאות לשימושים בפונקציה ה"מיותרת" הזאת ?

~~LosNir~~ · 18-12-06, 23:58

אז זה לא נקרא חור אבטחה....
זה אפשרי למי שיש גישה למסד \=

זה כמו שתגיד שהתחברות זה חור אבטחה, הוא יוכל לגלות את הפרטים :S

אולי אתם מתכוונים סיכון, שזה נכון, אבל אם מאבטחים את המסד כמו שצריך,
אז זה לא יקרה.

חוץ מזה שזה אפשרי לשימוש במערכתו ניהול תוכן לדוגמא,
שמי "ששולט" על המסד הוא בעל האתר, ואני לא מאמין שבעל אתר יהרוס לעצמו את המערכת

ו RS324 צודק,
יכול להיות שבעתיד אשלב למערכת שלי ניהול סקינים ע"י קובץ טמפלט ב PHP.

ViPeRt · 19-12-06, 00:12

כמו שאמרו פה, זה שימושי למערכת טמפלטים - הכי נוח :]

tnadav · 19-12-06, 12:14

לרגע לא אמרתי שהפונקציה לא שימושית לפעמים, רק אמרתי שהדוגמא הזאת היא משהו שככל הנראה ניתן לבצע בדרך אחרת (לא בטוח בכלל, אני לא יודע מה עשית עם זה) אבל עצם העובדה שאני מריץ קוד שאני לא ממש מהו גורמת לי לחשוב אם יש דרך אחרת, יותר טובה.

18-12-06, 21:45	# 1
~~LosNir~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: ראשון לציון גיל: 33 הודעות: 2,686	דווקא מאוד שימושי, אם יש לך קוד PHP שמאוחסן במסד, אז אי אפשר לעשות ככה: PHP קוד: `$query = mysql_query("SELECT * FROM table WHERE id=1"); $a = mysql_fetch_array($query); $a[code];` אז עושים ככה: PHP קוד: `$query = mysql_query("SELECT * FROM table WHERE id=1"); $a = mysql_fetch_array($query); eval($a[code]);`

18-12-06, 22:13	# 5
רומן חבר מתקדם מיני פרופיל תאריך הצטרפות: Dec 2005 מיקום: באר שבע גיל: 37 הודעות: 405	למה שמישהו ישמור קוד php במסד, אני ממש בספק, פונקציה מוזרה. __________________ משחק דפדפן משחקי דפדפן משחק דפדפן משחקי דפדפןמשחק דפדפן

19-12-06, 00:12	# 8
ViPeRt חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: איזור המרכז גיל: 37 הודעות: 632	כמו שאמרו פה, זה שימושי למערכת טמפלטים - הכי נוח :] __________________ תומר, מתכנת אתרים מקצועי ב PHP קיצור כתובת אתרים בחינם Katzr.Net

19-12-06, 12:14	# 9
tnadav חבר בקהילה מיני פרופיל תאריך הצטרפות: Oct 2006 הודעות: 216	לרגע לא אמרתי שהפונקציה לא שימושית לפעמים, רק אמרתי שהדוגמא הזאת היא משהו שככל הנראה ניתן לבצע בדרך אחרת (לא בטוח בכלל, אני לא יודע מה עשית עם זה) אבל עצם העובדה שאני מריץ קוד שאני לא ממש מהו גורמת לי לחשוב אם יש דרך אחרת, יותר טובה. __________________ "אני לא מעצב גרפי... אני לא פלאשר תותח... בטח שלא מנכ"ל של חברת בניית אתרים, כעיקרון אסור לי להיות מועסק.. אבל אני... מתכנת ב-PHP , וגם, לא ממש מציעה.." (יצא לי מוזר משהו...חח)


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

18-12-06, 23:58	# 7
~~LosNir~~ מתאורר / יצא בחוץ מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: ראשון לציון גיל: 33 הודעות: 2,686	אז זה לא נקרא חור אבטחה.... זה אפשרי למי שיש גישה למסד \= זה כמו שתגיד שהתחברות זה חור אבטחה, הוא יוכל לגלות את הפרטים :S אולי אתם מתכוונים סיכון, שזה נכון, אבל אם מאבטחים את המסד כמו שצריך, אז זה לא יקרה. חוץ מזה שזה אפשרי לשימוש במערכתו ניהול תוכן לדוגמא, שמי "ששולט" על המסד הוא בעל האתר, ואני לא מאמין שבעל אתר יהרוס לעצמו את המערכת ו RS324 צודק, יכול להיות שבעתיד אשלב למערכת שלי ניהול סקינים ע"י קובץ טמפלט ב PHP.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)