Hallo!

In meiner Datenbank habe ich den Content meiner Internetseite gespeichert. Der Content enthält unter anderem auch PHP Script.

Um die Datenbank zu öffnen und die Inhalte zu lesen und wieder zu geben habe ich folgendes Script geschrieben

Über $_GET["page"] soll ausgelesen werden welche Seite geöffnet werden soll.

Anschließend soll mit dem echo "$page" im Bereich des Bodys dann der Content der aus der Datenbank (aus der Spalte page) gelesen wurde wieder gegeben werden.

Im Bereich des Bodys habe ich nun mein Problem mit dem echo-Befehl wenn in dem Content PHP vorhanden ist. Dann wird das PHP Script "ignoriert" bzw. einfach mit angezeigt.

Wie kann ich dies Problem lösen damit auch mein PHP-Script ausgeführt wird?

Gruß
André

Lass die Anführungszeichen weg.

echo $variable;

__________________
#m { f : g } /* jnv */

Das hatte ich auch schon probiert.
Das PHP Script wird dann trotzdem nicht ausgeführt :/

Erstens würde ich auch die Anführungszeichen weglassen.

Zweitens gibt "echo" nur etwas aus, es führt aber nichts aus. Wenn Du PHP-Code in der Datenbank hast, der ausgeführt werden soll, dann ist das zunächst (fast ausschließlich) ein konzeptioneller Fehler.

Nichtsdesto trotz könntest Du diesen mit "eval" ausführen.

Aber vorsicht, das Wort "eval" hat Ähnlichkeit mit "evil", man sollte schon genau wissen was man dort tut, sonst könnte es ganz, ganz böse werden.

Du hast PHP-Code in deiner Datenbank stehen? Warum? Brauchst du überhaupt eine Datenbank, oder wären normale PHP-Dateien nicht einfacher für dich?

Aber zu deiner Frage, PHP-Code der in einem String steht kannst du mit eval() ausführen. Ist aber sehr riskant, weil du nie genau weißt was er da jetzt ausführt. Es braucht nur jemand den Inhalt der Variable "$page" manipulieren und schon führst du Schadcode aus.

Und mach dich umbedingt mal mit SQL-Injections vertraut. Die Variable $open solltest du umbedingt mit mysql_real_escape_string() behandeln.

Gruß,
Max

EDIT: Mal wieder zu langsam.

Okay danke, werd mir das ganze noch einmal genau anschauen, dann finde ich schon eine bessere Lösung

Stichwort: Template Engine.

- Template Engine

In PHP etwa:

- Smarty
- Twig
- PHPTAL
- XML/XSL
- …

So etwas geht auch ohne Template Engine ohne Code in der Datenbank. Am Anfang ist es meiner Meinung nach auch ganz gut nicht direkt auf eine Template Engine zurück zu greifen und gegen SQL-Injection hilft eine Template Engine auch nicht...

__________________
Rettet die Erde.... sie ist der einzige Planet mit Schokolade!

Ja, es hängt von der Intention ab. Wenn das Ziel ist, in Einträgen „erweiterte Funktionalität“ (Schleifen, bedingte Ausgabe, Einbindung vorgefertigter Bausteine, … – kurz: alles, was normales HTML übersteigt) zur Verfügung zu stellen, ist eine „Template Engine“ (BBCode ist irgendwie auch bereits eine) keine schlechte Wahl.

Das ist auch nicht ihre Aufgabe.

Doch, eigentlich ist sie genau das: eine schlechte Wahl.

Der Autor hat hier zwar etwas übertrieben, aber mit seiner Kernaussage hat er absolut recht: Blogger: PHP ist eine Template Engine! - Ein PHP Blog auf deutsch