Eval()，有什么意义？

Question

关于 eval() 作为函数的官方文档说：

除此之外，这对于将代码存储在数据库文本字段中以便稍后执行非常有用。

我对此感到非常困惑。 PHP 文档是否建议将 PHP 行存储到数据库中？什么？这不是很不安全的事情吗？

如果我知道数据库中有一个作为 PHP 执行的字符串怎么办？那不是非常危险吗？我只需要一个 Sql 注入来对该网站执行我想要的任何操作，无论我想要什么。我可以删除整个数据库，我可以从脚本中获取所有内容，我可以做任何事情。

这怎么会有这么大的帮助呢？

您能否提供一些示例来说明这个 eval() 如何发挥作用？ 另外，我可能遗漏了一些东西，为什么我看到了一些代码，例如：

eval("if (is_int($int)) { return false }");

而不是只是

if (is_int($int)) { return false }

但是，正如我所说，我可能遗漏了一些东西：什么？

Answer 1

eval() 函数非常棒！人们一直使用它来注入代码并始终获得对服务器的良好访问权限。您经常会看到使用 eval() 以及在损坏的 WordPress 安装中执行的正则表达式函数。

您需要 eval 的原因很少。例如，如果我正在制作一个 PHP 测试网站，人们可以在页面上输入一些代码然后运行它。当然，出于您列出的原因，需要首先对其进行消毒。

Answer 2

假设您有一个允许您输入 PHP 代码的 CMS。我可以看到使用 eval 函数来评估该 PHP 代码片段。出于同样的原因，Javascript 也有 eval。

抛开所有原因不谈，eval 是非常不安全的。我同意永远不应该使用它。

Answer 3

是的，这可能非常危险。我见过它使用的一个地方是一个系统，该系统允许对搜索屏幕进行非常复杂的配置，并允许用户保存搜索配置。搜索的详细信息被保存为作为 eval 执行的实际代码。 输入被单独存储并被检查（在某种程度上，我不知道细节）以防止SQL注入。这是我唯一一次看到这样做，而且可能没有必要（尽管我从未见过足够多的系统来确定）。

当您不知道运行时之前需要执行哪些代码时，eval() 可能很有用（就像我上面给出的示例），但这些情况并不是每天都会发生的事情大多数开发商。如果您确实遇到过需要eval()的情况，请确保您从不 直接传递用户的输入。如果您能找到一种方法来限制（在某种程度上）将传递给它的代码，那就更好了，但这取决于当前的问题。

Answer 4

您能否提供一些示例来说明此 eval() 如何发挥作用？

例如，它被模板引擎使用。它们将模板解析并编译为 PHP 代码，并且可以将代码存储到任何位置，或者直接使用 eval() 执行。

除此之外，这是一个危险的功能。

Answer 5

嗯，这确实不安全，无论如何你都必须清理你的代码。

然而，它并不旨在评估用户或任何其他方式（例如来自数据库）引入的表达式。

我发现当语言不提供元编程时它很有用。例如，您需要用 50 个字段填充一个 bean，这些字段的名称相同，但方法名称略有不同，例如数字（想象它有 field1()、field2()、field3() ... 等） ，那么你可以在 for: 中使用 eval 将方法名称构造为字符串，然后调用它。

这样你就可以将 100 行重复的代码转换为 5 行，如果你想添加有关其工作原理的文档，还可以转换更多行，哈哈。这并不是不安全，因为没有其他人在这里接触您的代码。

Answer 6

你可以有类似的东西

$text = 'This is some random number: $number. Hello world!';
...
$number = 15;
...
eval ("\$replacedText = \"$text\";");

在 eval $text 中将被替换为“这是一些随机数：$number。Hello world！”，并且 eval 确保 $number 也被替换为 15