Moin

Hab mal ne Frage: Kann man irgendwie PHP Code den man in einer Datenbank gespeichert hat auslesen UND ausführen?

Also ich lese das ding mit SELECT aus aber wie krieg ichs dann zum laufen? Ist ja ein String usw...

Danke

MfG Zen

Hallo Zen,

der PHP-Befehl lautet "eval" und wertet einen String als PHP-Code aus.

Ich habe allerdings immer einen faden Beigeschmack bei der Nutzung des Befehls, da die enthaltenen Variablen gegen Code Injection gesichert werden müssen.

Warum den Code in eine DB?

Wie wär es stattdessen mit switch, das anschließend die Code-Snipplets includieren. Beim Hinzufügen von Code-Snipplets könnte dann noch der switch durch ein PHP-Script eingelesen und angepasst werden.

Gruß
maruerru

Merci beaucoup: funtzt

Ich möchte den gesammten Code unterhalb meines Menücodes dynamisch einfügen. Wenn ich aber mal einen php code für etwas brauche muss ich trotzdem ne extra Datei erstellen... -> Alles soll über forms gehen


Also ich mach halt schon bei der eingabe eine prüfung auf injections... beim auslesen wird dann auch noch über str str gecheckt ob was böses drin ist.

Könnt ihr mir mal eine Liste machen welche dinger nicht gehen dürfen? Ich will nur auslesen aus einer db erlauben.

Verbieten tue ich derzeit:

DROP ALTER DELETE UPDATE MKDIR RMDIR UNLINK UNSET FWRITE

Was fällt euch noch ein?

MfG Zen

nicht mit ner blackliste arbeiten, sondern mit ner whiteliste
wenn du eh nur selects erlauben magst, dann prüfe diese doch einfach mittels preg_match()!