我知道eval是PHP中从输入执行PHP代码的函数。现在我想做一个W3Schools喜欢的编辑器。如何保护从POST变量获取的eval代码
$code = eval($_POST["phpusercode"]);
echo $code;
我想做的是当用户创建这样的函数
我想让用户能够在我的网站上编写自己的PHP代码,而不会使我的网站容易受到某种黑客攻击。
eval计算代码,因此,正如@sectus在注释中所说,执行代码
eval ("echo 'Hello user'"); //This will execute echo 'Hello user'
所以,在你的情况下,我认为你不想执行你的用户代码,所以请确认你的问题并更新它。
重要:
- 高度不鼓励使用
eval - 永远不要使用
eval和POST/GET的参数而不进行消毒
的有用链接:
当eval是邪恶的
避免SQL注入