:: Buchempfehlung ::

Socrates · #1 17.09.2007, 17:18:34

Abend!

Ich hätte da eine kurze Frage. Und zwar habe ich in einer Variabel sowohl HTML- als auch PHP-Code stehen. heißt ich muss sie vor der Ausgabe parsen. Wie stell ich das am besten an?

MfG, Andy

MatMel · #2 17.09.2007, 22:19:10

Da gibt es die Funktion eval(). Hab ich allerdings noch nie selber verwendet. Du musst halt gut aufpassen, was in diesen String reinkommt!

Socrates · #3 17.09.2007, 22:38:16

Abend!
Ich verstehe darunter ein Programm, das mir den kompletten inhalt in schönen ausgebbaren HTML-Code umwandelt.
Mfg, Andy

defabricator · #4 17.09.2007, 22:47:21

Ja, das geht mit eval().
Der Code, der dann ausgeführt wird, kann allerdings auch alles, was das aufrufende Skript kann. Da gibt es mehr als nur eine bekannte Sicherheitslücke, die durch ungenügend geprüfte Parameter für eval() ausgelöst wurde. Nur ein Beispiel: http://ifsec.blogspot.com/2007/03/wo...to-enable.html

Socrates · #5 17.09.2007, 23:12:32

Abend!
eval() möchte ich bei dieser Lösung vermeiden!
eval() ist evil!
Habe ich leider schon oft die Erfahrung gemacht. gibt es denn keine alternative Lösung? Zudem nimmt eval() nur php und keinen HTML-COde an!
MfG, Andy

#6 17.09.2007, 23:51:43

Zitat:

Zudem nimmt eval() nur php und keinen HTML-COde an!

Naja... das wüsste ich aber...

Trotzdem:
Schau dir mal das Beispiel zu stream_wrapper_register() an. Damit gehts auch mit Include.
Oder etwas ausgefuchster: http://technischedaten.de/pmwiki2/pm...ysqlUrlWrapper

Socrates · #7 18.09.2007, 00:15:27

Abend!
Danke ich schaus mir an doch fürs erste habe ich eine Lösung. Ich musste die eval()-Funktion etwas modifizieren und ann bekommt man auch keine Fehlermeldung mehr, wenn HTML-COde enthalten ist. Ich weiß es ist nicht ganz sicher mit eval() zu arbeiten, doch fürs erste reichts erstma.

PHP-Code:


			
<?php
$str= "<?php echo 'moin moin'; <h1>mist</h1> ";
eval(' ?>' . $str. '<?php ');
?>

MfG, Andy

defabricator · #8 18.09.2007, 00:27:04

Du musst eval() schon gültigen PHP Code übergeben.

Code:

<?php echo 'moin moin'; <h1>mist</h1>

Wenn Du das in eine Datei schreibst und durch PHP jagst, bekommst Du eine Fehlermeldung. Genauso bei eval()

PHP-Code:


			
<?php echo 'moin moin'; ?><h1>mist</h1>

gültiger PHP Code, geht deshalb auch genauso mit eval().
Und ob nun eval() oder stream_register/include ist gehopst wie gesprungen. Die Probleme sind die selben.

Socrates · #9 18.09.2007, 00:53:10

Morgen!
Ok danke! Das unten war en Tippfehler. Habe vergessen das Tag zu schließen war ja auch nur ein Beispiel. Aber es beruhigt mich, dass die vorgeschlagene Alternative auch keine Alternative war.
MfG, Andy

#10 18.09.2007, 01:12:09

Ist es das selbe?
Ja, das Risiko ist das selbe.
Nein, der Wrapper meldet bei einem Fehler in welcher "Datei" das Problem aufgetreten ist.

Dass eval() evil sein soll, durfte ich schon oft vernehmen. Überflüssig ist es meist. Aber gefährlich wird es, wenn User-Code zur Anwendung kommt.

:: Buchempfehlung ::

:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!