1. Главная
  2. Форум
  3. Функция eval() PHP

Функция eval() PHP

21 января, 22:36 Технологии 4376 2

Всем привет. Появилась необходимость использовать функцию eval(). Знаю, что нужно 30 раз подумать перед тем как её использовать, вот думаю) Код, который будет запускаться функцией eval() состоит из хэширующих функций и некоторых данных, большинство из которых из скрипта, но так же есть и данные , которые вводит пользователь. Безопасно ли это. И если, к примеру, входящие данные дополнительно прогонять через md5(), к примеру. Наверное, если дополнительно прогонять через md5() входящие данные , то будет безопасно, но увеличится нагрузка. Сейчас обхожусь без eval(), но это очень неудобно и некрасиво. Как быть. Подскажите, пожалуйста. 

2 комментария
Сортировка:
Добавить комментарий
Vladyslav
Vladyslav 2023, 5 февраля, 18:37
0

Привіт! По-перше: якщо є така функція, то знач можно нею користуватися. А чому б і ні?

Як варіант, можно "користувацькі" данні фільтрувать і ставить в чергу на виконання. І потім вже сервер виконує сам. Це чуток буде "безпечніше".

Але ж всеодно: якщо нормальну фільтрацію поставити, то все ОК буде.

Так і сайт на скільки популярний, щоб хакер знав що ти використовуєш цю функцію і пробувати його "ламати" по унікальному URL ?) 

Так що, я думаю, що використовуй і все.

Особисто я використовував. Всі відмовляли мене. Але суть в тому, що сайт бистріше закрився (став не популярний) чим хакер знайшов мій сайт і почав зламувати його :)

1 комментарий
Vitold
Vitold 2023, 6 февраля, 13:34
0

Здравствуй) Насчет самой фильтрации, то тут я уверен, что вот такая логика - md5('Опасная строка введённая хакером') будет безопасной, так как подобная строка - 05a3a64400781c0e1fb7c5a4b00b49d2 никак не навредит. Я хотел бы узнать возможно ли как-то обойти форму ввода и каким-то образом подставить по-другому данные в эту функцию.

Ответить

IT Новости

Смотреть все