$input = $_GET['name'];
eval("$name= "$input";");
还是不安全?谢谢。没有任何 php 函数,如 preg_replace 或任何其他函数,只需将用户数据作为字符串类型与 \" 一起使用,当它放入 eval 函数时。
这基本上允许用户将任意代码注入您的应用程序中。在
$input=";mysql_query("DROP TABLE users")"
此外,eval 基本上不可能缓存任何内容,但这是一个次要后果。