将PHP代码存储在数据库中,并在运行时使用eval(),不安全吗?
PHP代码存储在数据库中并使用eval()运行,从安全性的角度来看,这并不是一个理想的做法。eval()函数在运行时可以执行任意PHP代码,这可能会导致代码注入、代码执行等安全问题。
为了确保代码的安全,可以采取以下措施:
- 使用PHP的serialize()函数将代码序列化,然后再存储到数据库中。这可以防止代码注入,但也可能会导致性能下降,因为序列化和解序列化代码需要消耗大量时间。
- 使用PHP的serialize()函数将代码序列化,然后使用base64编码,然后再存储到数据库中。这样可以防止代码注入,同时也减轻了序列化带来的性能问题。
- 使用PHP的Closure::bind()函数将代码绑定到数据库中,然后再运行。这样可以防止代码注入,并且可以更好地控制代码的执行。
- 使用PHP的Closure::bind()函数将代码绑定到数据库中,然后再使用eval()函数运行。这样可以防止代码注入,并且可以更好地控制代码的执行。但是需要注意,使用eval()函数运行代码时,需要谨慎处理输入和输出,以避免安全问题。
综上所述,将PHP代码存储在数据库中并使用eval()函数运行,并不是一个理想的做法,建议使用其他方法来存储和执行代码。
相关·内容
6回答
关于eval()作为功能的官方文档说:
我真的很困惑。PHP文档是否建议将PHP行存储到数据库中?什么?这不是很不安全吗?如果我知道数据库中有一个字符串被执行为PHP呢?这不是很危险吗?我只需要一个Sql注入来做我想做的任何
浏览 2提问于2011-01-25得票数 6
回答已采纳
1回答
除了在管理面板中制作的html页面,我还得到了大约两个PHP页面,其中包含存储在数据库中的查询。
无论如何,我使用'Eval‘来调用它们,我读到它是不安全的。虽然它只有html代码从管理面板进入,php代码是不允许的,如果张贴在这些页面上,PHP页面是不可编辑的,除非访问数据库,这样安全吗?一个PHP
浏览 0提问于2014-02-03得票数 0
我正在做一个php项目,我想运行从MySQL数据库中获取的代码。不安全的代码不可能被注入,所以我唯一担心的就是性能。我是应该使用eval()来直接运行代码,还是应该解析它让call_user_func()来运行它呢?例如,如果我获取的代码是"myfunc(1,2,3);anotherFunc(3,2,1);“
我可以直接使用eval()来运行代码。那么在
浏览 19提问于2009-03-19得票数 5
回答已采纳
我已经构建了一个程序,用于存储、检索和从eval()s数据库中获取SQLite代码。Clarifications:
I不是eval()ing用户提
浏览 3提问于2011-10-11得票数 4
2回答
我正在用CakePHP 2构建一个PHP应用程序。我需要有显示表单的页面。因此,我的问题是,如何实际从存储在数据库中的配置到cakePHP表单生成器,然后再到页面?我当时正在考虑eval()函数,但我读到它并不安全,如果可能的话,我会尽量避免它
浏览 6提问于2012-02-22得票数 1
回答已采纳
7回答
有没有可能将php代码写到mysql中,然后在php中使用它,以便处理输出,而不仅仅是编写它?
我想使用mysql,而不是包含file...if它是可能的。
浏览 16提问于2010-07-14得票数 0
当我不是无头运行时,代码工作正常0911/11
浏览 0提问于2018-09-11得票数 0
回答已采纳
我遇到的问题如下:我有一个MySQL表,其中包含我希望在我的网站上显示的页面内容的详细信息。然而,我希望其中一个页面的内容包含一些要执行的实际PHP代码,而不仅仅是打印为字符串。例如:Class::Function("Some Text For a Parameter");
我希望这段代码在返回sql查询时以某种方式执行,
浏览 2提问于2011-02-22得票数 3
回答已采纳
我正在努力从数据库导入散列,并在我的代码中使用它们。["{:name=>\"na życie2\", :planned=>2000, :budget_group=>\"Zdrowie\"}", "{:name=>\"pies\"
浏览 3提问于2020-05-02得票数 0
回答已采纳
我对php/mysql很陌生。我正试图通过URL(图像位置)将图像存储到数据库中,此时我的php代码正在将图像存储在名为upload的目录中的一个文件夹中。这是不安全的,所以我想把url放在数据库中。我的代码是基于这个的,这里是我的代码生成的一个url示例:
如何构造将
浏览 4提问于2012-07-02得票数 1
回答已采纳
如果我的数据库中有php,我可以使用它吗?具体来说,我有一个名为<?php echo $email; ?>的列,名为content。在名为user的受保护页面上,我调用content列并吐出一个页面。编辑:
另外,我在firebug中查看表单中显示的值,它确实是完整的echo语句。回显语句作为存储表单的一部分从数据库中提取。这不是很好的做法吗?如果是的话,如何才能做到呢
浏览 0提问于2013-08-11得票数 1
回答已采纳
1回答
我正在尝试实现一个函数,你可以将一个公式传递给它,以及一个将成为公式变量的数组,但由于它的工作方式,我不得不使用eval函数,我知道它是不安全的,所以我尝试查看可能的危险,并在一定程度上防止最麻烦的危险,我确保如果输入preg与exec匹配,它不会进行eval或“,但是这足够安全吗?或者除了exec之外,我还应该消除其他危险吗?我的代码如下: function calc($formula,$v
浏览 0提问于2017-05-09得票数 0
1回答
我想从我的数据库中查询一个字符串,这是一个PHP代码并运行它。我在Internet上看到的所有解决方案都是eval()。但我知道Eval is Evil。那么有没有其他选择呢?我考虑过将PHP代码转换为data:base64,并通过require_once()函数提供给它。但是没有发现这是成功的。这种方式或任何与此相关的方式都可以工作吗?我的平台是Wordpress。我听说过有人说将</em
浏览 0提问于2017-01-09得票数 1
6回答
有人告诉我,在PHP include中建立数据库连接是不安全的。例如,如果我有一个登录页面,并在具有数据库连接的页面顶部添加了"include('process.php')“,这是不安全的吗?
浏览 1提问于2011-08-17得票数 0
回答已采纳
2回答
我有两种存储页面的方法。第一个很简单;将其存储在一个文件中。第二种方法是将其存储在数据库中,这是我遇到的问题。Hello World<br>
<?php echo
浏览 1提问于2012-09-04得票数 1
回答已采纳
我有一个mysql数据库,在其中一个字段中,我有一堆普通的html和一个php脚本。当我从数据库中拉出并显示字段时,php并没有呈现为php,而是呈现为html。我想知道是否有可能将php脚本放在mysql数据库字段中,然后当它们被拉到网页上时呈现为php,如果是这样的话我该怎么做。
浏览 0提问于2013-01-29得票数 0
回答已采纳
在我的CMS中,我添加了这个代码<div><?php include("my_contact_form.php") ?></div>,它更新到一个数据库。我能在那里看到好的。在db调用之后,我的显示页面中有这个php代码:当我在正文中回显$content时,这将显示
浏览 3提问于2009-09-07得票数 2
回答已采纳
2回答
在创建新字段时,如果该字段类型在studio中可用,或者至少可以使用一些自定义代码来实现,那就更好了。到目前为止我所做的:-我已经将include/SugarFields/Fields/URL复制到include/SugarFields/Fields/Email - In modules/ModuleBuilder/language/en_us.lang.php我已经为email字
浏览 0提问于2011-05-24得票数 3
我有一个字符串,它存储一些必须执行才能产生结果的变量,例如:然后是eval()-uated:我理解,如果得到求值的字符串是来自用户输入的,eval是不安全的显然,我可以使用call_user_func()
浏览 2提问于2010-08-15得票数 5
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
