нет судьбы
С нами с 27.03.03
Сообщения: 4427
Рейтинг: 4204
 
|
 Добавлено: 02/05/15 в 20:52 |
Пример:
есть файл с именем test.php
| Код: |
<?php
$str = '...какой-то текст <?php include "some-file.php"; ?> какой-то текст...';
echo $str;
?>
|
После выполнения внутри test.php будет строка <?php include "some-file.php" ?>, которая не интерпретируется php, а идёт как текст. Существуют ли конструкции, которые позволят выдать строковую переменную так, чтоб если внутри этой переменной будет php код, то он будет выполнен а всё остальное вылезет текстом?
Смысл в том, что есть текстовый темплейт, который обрабатывается налету и в нём есть елемнтарные вставки <?php include блоков повторяющегося кода.
|
|
|
|
| |
С нами с 24.10.04
Сообщения: 18881
Рейтинг: 9010
|
| Добавлено: 02/05/15 в 21:20 |
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 03/05/15 в 03:15 |
Предлагаю ввести уголовную ответственность за использование eval() в коде 
|
|
|
|
| |
💀💀💀
С нами с 31.05.10
Сообщения: 4689
Рейтинг: 728
|
| Добавлено: 03/05/15 в 08:29 |
кури в сторону ob_start. Там примеры есть.
|
|
|
|
| |
www.phpdevs.com
С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105
|
| Добавлено: 03/05/15 в 10:00 |
ob_start вообще то с буфером вывода работает. Курить именно eval надо, ну или траву, что полегче 
|
|
|
|
Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.
|
9
|
|
| |
С нами с 24.10.04
Сообщения: 18881
Рейтинг: 9010
|
| Добавлено: 03/05/15 в 10:20 |
| Pentarh писал: | | Предлагаю ввести уголовную ответственность за использование eval() в коде |
вам шашечки ли ехать? 
можно и распарсить регэкспом входящие данные и отформатировать и сделать кучу проверок, но зачем усложнять себе жизнь, когда можно сделать за 5 минут и все заработает
|
|
|
|
| |
нет судьбы
С нами с 27.03.03
Сообщения: 4427
Рейтинг: 4204
|
| Добавлено: 03/05/15 в 10:43 |
Мда, прийдётся заменить инклуды на свои токены.
|
|
|
|
| |
💀💀💀
С нами с 31.05.10
Сообщения: 4689
Рейтинг: 728
|
| Добавлено: 03/05/15 в 21:05 |
| Stek писал: | | ob_start вообще то с буфером вывода работает. Курить именно eval надо, ну или траву, что полегче |
Ну да, как я понял что-то текстовое выводит тот инклуд, самое то получается. не евал же в самом деле. К тому же буфер можно в переменную засунуть.
|
|
|
|
| |
Криптопохуист
С нами с 05.04.03
Сообщения: 17158
Рейтинг: 6019
|
| Добавлено: 03/05/15 в 22:57 |
| ibiz писал: | вам шашечки ли ехать?
|
Как бывший админ говорю. Все remote code execution уязвимости на eval строятся. По этому нужно возбуждать уголовное дело против разраба за такие шутки
|
|
|
|
| |
С нами с 09.08.12
Сообщения: 185
Рейтинг: 378
|
| Добавлено: 04/05/15 в 11:03 |
например сохраняй в php://memory и php://temp
другой вариант eval как уже говорили - не слушай тех кто говорит что нельзя использовать eval - они нифига не знают инструмент (как защитить свои скрипты) программируют только через гугл и на фремворках готовых.
|
|
|
|
| |
www.phpdevs.com
С нами с 24.10.02
Сообщения: 16633
Рейтинг: 16105
|
| Добавлено: 04/05/15 в 12:01 |
Что именно ты туда собрался сохранять и зачем ?
|
|
|
|
Пишу на php/mysql/django за вменяемые деньги.
Обращаться в личку.
|
0
|
|
| |
С нами с 12.11.08
Сообщения: 5
Рейтинг: 8
|
| Добавлено: 05/05/15 в 21:26 |
|
|
|
|
| |
С нами с 17.03.06
Сообщения: 106
Рейтинг: 88
|
| Добавлено: 06/05/15 в 17:56 |
-
|
|
|
|
| |
