Zustand mit eval {php}

<?php
eval("if (1==1){");
echo ('abc');
eval("}");
?>

Dann bekomme ich eine Fehlermeldung :
Parse error: Parse error in C:\wamp\www\test\index.php(2) : eval()'d code on line 1
abc
Parse error: Parse error in C:\wamp\www\test\index.php(4) : eval()'d code on line 1

Wie zu beheben?

Ich möchte ein template egine
Sie möchten die Verwendung einer template-engine, um eine template-engine?
Nein. eine template-engine. Meine Frage beantworten Sie bitte
Snoob, Sie vielleicht gut daran tun, zu schauen, den code für andere template-engines. Sie wohl Ihre Ziele zu erreichen, ohne dass code wie dieser.
template engine, die Verwendung von eval ist die grausamste Sache, die ein Entwickler sich vorstellen kann. Ich bin mit Ihnen Mitleid haben.

InformationsquelleAutor cdxf | 2010-09-01

php

10

Sollten Sie wirklich versuchen zu vermeiden, mit eval wenn überhaupt möglich. Es stellt eine enorme und fast unüberwindbaren Sicherheits-Risiko. Ich habe noch nie in meiner Karriere ein guter Grund, um diese Funktion zu nutzen. Wenn Sie nach einem Beispiel, vielleicht können wir Ihnen helfen einen Weg finden, um Ihr Ziel zu erreichen, ohne diese immense Gefahr.

Haftungsausschluss beiseite, ich denke, das Problem ist, dass Sie anfangen, ein Ausdruck in der eval muss abgeschlossen sein.

Könnten Sie versuchen, diese stattdessen:
```
<?php
    $test = eval("return 1==1;");

    if($test)
    {
         echo 'abc';
    }
```
edit:

Ziel ist es, so etwas zu tun:
```
[if {expression}][blog_title][endif]
```
Hier ist eine Idee. Anstatt zuzulassen, dass der Benutzer geben Sie einen beliebigen Ausdruck nur eine variable verwenden, die der Benutzer festlegen kann. Zum Beispiel:
```
[if should_show_blog_title][blog_title][endif]
```
Dann kann der Benutzer tun dies (pseudo-ish-code, da ich nicht sicher bin, was dein Template-API aussieht):
```
$template = new Template();

//shows blog title
$template->set_variable('should_show_blog_title', 1 == 1); //1 == 1  is true, so the variable is true
$template->set_variable('blog_title', 'Awesomesauce Blog!');

//doesn't show title
$template->set_variable('should_show_blog_title', 1 == 0); //1 == 0 is false, so the variable is false
$template->set_variable('blog_title', 'Awesomesauce Blog!');
```
Andere Idee wäre, eine begrenzte Anzahl von Operatoren oder Funktionen, die der Benutzer verwenden könnte. Statt evaling es, Sie zu analysieren. Zum Beispiel:
```
[if not_empty(blog_title)][blog_title][end if]
```
Dann, wenn Sie analysieren und kompilieren Sie die Vorlage (einfügen der Daten in, im Grunde), die man sich für diese speziellen Funktionen und übersetzen Sie Sie in PHP. Dies ist im Grunde ein whitelisting, da Sie nur damit die Benutzer führen eine sehr eingeschränkte Teilmenge der Funktionalität.

Sollten Sie schauen,Schnurrbart, welche Art von folgt die erste Idee. Die Umsetzung ist eigentlich ziemlich einfach. Die PHP-Implementierung der Schnurrbart ist hier: mustache.php. Man konnte sich durch die Proben und einige code, um zu sehen, wenn Sie könnten einige Ideen.

Einer Sache im Auge zu behalten ist, dass, wenn Sie evaling, die templating-engine ist nicht so benutzerfreundlich, da der Benutzer dann schreiben muss gültigen PHP in Ihren Bedingungen. Ein Teil der Attraktivität der Schnurrbart ist, dass es so einfach und unglaublich einfach zu bedienen. Ich bin ein erfahrener PHP-Entwickler, und während ich hack in PHP den ganzen Tag lang, ich immer noch lieber Schnurrbart für templating, weil es nur lässt mich auf den Punkt kommen.
- Nicht sicher, warum war ich downvoted.
- Vielen Dank für Ihren Kommentar, das ist mein problem: [wenn somecondition] [blog_title] [endif] Aber ich weiß nicht, wie schreibt man eine template-engine, mit der Bedingung so aus 🙁
- Wünschte, ich könnte upvote Sie mehr, notJim.
- Wenn der string kommt von dem Benutzer oder einem anderen Dritten, du hast Recht. Aber wenn Sie Kontrolle sowohl der code mit der eval() und die Zeichenfolge ausgeführt wird, stellt dies auch kein größeres Risiko als normalen code. Plus, wenn Sie Umgang mit JSON viel, wahrscheinlich haben Sie es verwendet. Vor der native browser-Unterstützung, die ist noch sehr neu eval() schon immer die fallback-Methode, um die Daten in den browser ein.
- Sie habe downvoted für das korrumpieren von einem 15-jährigen Kind, schob Sie auf bösen wegen. Sei nicht albern, niemand kümmert sich um HAFTUNGSAUSSCHLÜSSE. Manchmal denke ich, dass für ein paar Ruf-Punkte, die Sie alle bereit zu helfen, einen Mörder.
- Äh, Sie waren bereits "verdorben" durch das denken zu verwenden eval in den ersten Platz. Ich sehe nicht, wie downvoting meine Antwort, die widmet die meisten seinen text darauf hindeutet, Möglichkeiten, Sie zu vermeiden eval hilft niemandem. Sie können nicht beseitigen, schlechte Programmierung, indem er vorgibt es nicht existiert.
- STOP HIER, ich werde nicht mit eval .................. (schlechtes Englisch :D)
- Col. Schrapnell : ich bin nicht murderen, nur ein Neuling coder 😀
InformationsquelleAutor davidtbernal
3

Einfach ...
```
<?php
eval(
  "if (1==1){".
  "echo ('abc');".
  "}");
?>
```
Dinge in eval('...') muss selbst abgeschlossen expression oder Anweisung und '}' nicht.
- Ich denke das ist eine bessere Antwort. Erklärt, WARUM er immer die Fehler. Ich habe eine ähnliche Frage: stackoverflow.com/questions/5437403/...
InformationsquelleAutor NawaMan

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.