那些遇到过的问题

将PHP代码存储在数据库中,并在运行时使用eval(),不安全吗?

Yar*_*rin 4 php sql database security eval

我已经构建了一个eval()s从SQLite数据库中存储,检索和编码的程序.

在我因为糟糕的编码实践而受到冲击之前,让我们把它当作理论并假装我有充分的理由这样做.

抛开所有其他考虑因素,并假设用户输入不是一个因素,是否存在将PHP代码存储在数据库中并运行它所固有的安全风险eval()

澄清:

  • 我不是eval()ing用户提交的内容.
  • SQLite DB文件位于同一目录中,并且与其余文件一样,应用了相同的安全性.
  • 请不要对性能,缓存等做任何评论.我知道这一切.

Zet*_*Two 5

eval()本身并不是不安全的.这只是不好的做法,不清楚,并为一大堆bug和安全相关问题开辟了道路.

归档时间:

查看次数:

509 次

最近记录:

9 年,6 月 前
相关归档
如何在SQL Server Management Studio中仅运行我的光标所在的语句? 82
Laravel firstOrNew如何检查它是第一个还是新的? 46
SQL Server中的COUNT(*)是一个恒定时间操作吗?如果没有,为什么不呢? 36
为什么要用PHP框架? 32
cURL,获取重定向url到变量 26
将html实体存储在数据库中?或者在检索时转换? 25
无法启动LocalDB 21
如果无法安全地在生产中使用实体框架代码,为什么还应该使用它,而无法描述索引之类的内容 8
这些表是否符合3NF数据库规范化? 6
为什么新的Facebook Javascript SDK不违反"同源策略"? 5
难疑归档
如果__name__ =="__ main__":怎么办? 5545
AngularJS:服务与提供商vs工厂 3296
舍入到最多2位小数(仅在必要时) 2492
何时在CSS中使用margin和padding 2277
如何确定变量是"未定义"还是"空"? 2000
如何在Python中小写一个字符串? 1908
为什么在C++中读取stdin的行比Python要慢得多? 1738
如何撤消"git commit --amend"而不是"git commit" 1198
有条件地申请课程的最佳方式是什么? 1172
AngularJS中指令范围内的'@'和'='有什么区别? 1053