什么情况下需要使用 eval() 因为没有其他选择？

Question

我知道出于速度和安全原因，在 JavaScript 中应该避免使用 eval 。但就 PHP 而言，很少有人提到安全性。更常见的是，由于随意使用 eval，您的程序运行速度比应有的速度慢。

在什么特定情况下您应该使用 eval 因为没有其他方法可以解决它？

为了清楚起见：

我们不是在谈论用户提供的数据。因此，问题集中在纯粹且完全受控的服务器端有效使用eval。

Answer 1

eval - 在 PHP 中使用 eval 评估代码的安全问题与在 Javascript 中相同：如果您评估某些代码，您必须确定它来自哪里以及它包含什么。

安全隐患可能更大，因为 PHP 可以访问您的数据库（除其他外） - 这意味着它可以用来窃取/破坏您的应用程序所依赖的几乎所有信息！

在 Javascript 中，他们说“eval 是邪恶的”； PHP 中的情况可能与 Javascript 中的情况一样。

现在，关于无法避免使用 eval 的特定情况...好吧，在我日常工作的 4 年 PHP 开发中，我不记得曾经使用过 eval 在我自己的代码中 ^^

不过，您需要 eval 的情况示例是，例如，当您将一些代码存储在数据库中，而不是将其缓存在文件中时< em>（可以包含在内）——例如，某些 CMS 允许在管理部分中键入部分 PHP 代码。

Answer 2

Eval 和 create_function 可能允许任意代码注入。 PHP 中有很多东西可以用来危害应用程序的安全性。

我们告诉孩子们不要玩刀具和火柴 - 但如果正确使用，这些都是有用的（如果不是必需的）工具。 PHP 的很多功能也是如此。 只要您准确理解自己在做什么，使用该功能本质上并没有什么问题。

但在如此抽象的层面上讨论编程语言并不是 StackOverflow 的目的。

C.

Answer 3

我知道应该避免 eval
JavaScript 的速度和安全性
原因。但对于 php 来说，
很少有人提到安全性。
更多时候是你的程序在运行
比应有的速度慢，因为
随意使用 eval。

eval 是 邪恶 在 php 中也是如此。

在什么具体情况下你应该
使用 eval() 因为没有其他方法
绕过它？

首先，我们尝试尽可能避免它，但如果您确实必须使用它来执行某些代码，那么您将不得不使用它，但正如所说的那样，它是邪恶的，您使用自担风险。

底线：

无论如何，绝不允许使用eval运行用户输入。（除非您知道自己在做什么/承担风险）

Answer 4

如果你想在 PHP 5.3 之前使用匿名函数，你需要使用 create_function< /a>，它包装了 eval() 调用。

Answer 5

我完全同意之前的答案，因为 eval 是邪恶的，而且我从不在我的代码中使用它。

但在一种情况下，我无法避免评估。我在 php 方面没有太多经验，所以如果有人建议我如何在没有 eval 的情况下重写代码，我会很高兴。在这种情况下，我有一个类名存储在变量中，我必须调用该类的静态方法，类名来自受信任的源，所以我必须编写如下内容：（

eval("\$result = $className::methodName()");

因为你不能只写 $className::methodName() );