कौन सी परिस्थितियां eval() के उपयोग की मांग करती हैं क्योंकि कोई विकल्प नहीं है?

Question

मुझे पता है कि eval को जावास्क्रिप्ट में गति और सुरक्षा कारणों से बचा जाना चाहिए। लेकिन PHP के मामले में, शायद ही कभी सुरक्षा का उल्लेख किया गया है। अधिकतर, यह आपका प्रोग्राम eval के खतरनाक उपयोग के कारण धीमा चल रहा है।

आप किस विशिष्ट परिस्थितियों में eval का उपयोग करना चाहिए क्योंकि इसके आसपास कोई अन्य तरीका नहीं है?

स्पष्टता के लिए:

हम उपयोगकर्ता के आपूर्ति डेटा के बारे में बात नहीं कर रहे। तो सवाल eval के शुद्ध और पूरी तरह से नियंत्रित सर्वर-साइड वैध उपयोग पर केंद्रित है।

Answer 1

मुझे पता है eval गति और सुरक्षा कारणों के लिए जावास्क्रिप्ट में बचा जाना चाहिए। लेकिन php के मामले में, शायद ही कभी सुरक्षा का उल्लेख किया गया है। अधिकतर यह आपका प्रोग्राम चला रहा है जो के कारण धीमा होने के कारण धीमा हो।

eval भी evil php में है।

है क्या विशिष्ट स्थितियों आप उपयोग eval() क्योंकि ऐसा करना चाहिए इसके आसपास कोई अन्य तरह से

?

सबसे पहले, हम करने की कोशिश यह जितना संभव हो उतना से बचने के लिए, लेकिन आप का उपयोग करने के लिए कि कुछ कोड को क्रियान्वित करने के लिए क्या है, तो आप उस के साथ जाना होगा, लेकिन जैसा कि कहा कि यह बुराई है, आप अपने पर अपने जोखिम पर उपयोग करते हैं।

बॉटम लाइन:

किसी भी दर पर अनुमति देते हैं कभी नहीं, उपयोगकर्ता इनपुट eval साथ चलाने के लिए। (जब तक आप नहीं जानते कि आप क्या कर रहे हैं/जोखिम)

Answer 2

PHP में eval के साथ eval की सुरक्षा समस्याएं जावास्क्रिप्ट में समान हैं: यदि आप कुछ कोड का मूल्यांकन करते हैं, तो आपको यह सुनिश्चित करना होगा कि यह कहां है से आता है, और इसमें क्या शामिल है।

सुरक्षा निहितार्थ भी, अधिक से अधिक हो सकता है के रूप में PHP (अन्य बातों के साथ) अपने डेटाबेस के लिए उपयोग है - यह चोरी करने के लिए इस्तेमाल किया जा सकता है जिसका अर्थ है/भ्रष्ट लगभग एवरी आपके आवेदन पर निर्भर करता है जानकारी!

जावास्क्रिप्ट में, वे कहते हैं कि "eval बुरा है"; यह शायद PHP में सच है कि यह जावास्क्रिप्ट में सच है।

अब, विशिष्ट स्थितियों के बारे में जिसमें आप eval का उपयोग नहीं कर सकते हैं ...खैर, मेरी हर दिन काम के रूप में PHP में developping की 4 साल की तरह कुछ में, मैं होने कभी मेरे अपने कोड में eval इस्तेमाल किया ^^

फिर भी, और इस स्थिति का उदाहरण है जहाँ आप eval आवश्यकता होगी याद नहीं है जब आप, डेटाबेस में कुछ कोड भंडारण कर रहे हैं, उदाहरण के लिए, और फ़ाइलों (जो शामिल किया जा सकता) में यह ग्रहण कर रही - कि कुछ सीएमएस कि उदाहरण के लिए, PHP कोड के कुछ भागों प्रशासन अनुभाग में टाइप करने की अनुमति के साथ होता है।

Answer 3

मैं पूरी तरह से मुद्दा यह है कि eval बुराई है में पिछले जवाब से सहमत हैं, और मैं अपने कोड में इसका इस्तेमाल कभी नहीं।

लेकिन एक स्थिति में मैं eval से बचने में कामयाब नहीं रहा है। मुझे php में ज्यादा अनुभव नहीं है, इसलिए अगर कोई मुझे सलाह देता है कि मैं कोड को 'eval' के बिना कैसे लिख सकता हूं तो मुझे खुशी होगी। यह स्थिति है कि मेरे पास एक चर नाम में संग्रहीत कक्षा का नाम था, और मुझे उस वर्ग पर एक स्थिर विधि कॉल करना पड़ा, वर्गनाम एक विश्वसनीय स्रोत से आया था। तो मैं कुछ इस तरह लिखना पड़ा:

eval("\$result = $className::methodName()"); 

(क्योंकि आप बस नहीं लिख सकते हैं $ className :: methodName());

Answer 4

आप PHP 5.3 से पहले गुमनाम कार्यों का उपयोग करना चाहते हैं, तो आप create_function है, जो एक eval() कॉल लपेटता उपयोग करने के लिए की जरूरत है।

Answer 5

Eval और create_function आर्बिट कोड इंजेक्शन की अनुमति दे सकता है। PHP में बहुत सी चीजें हैं जिनका उपयोग आपके आवेदन की सुरक्षा समझौता करने के लिए किया जा सकता है।

हम चाकू और मैचों के साथ खेलने के लिए नहीं बच्चों को बता - लेकिन जब सही ढंग से इस्तेमाल इन उपयोगी (यदि नहीं आवश्यक) कर रहे हैं उपकरण। तो यह बहुत सी PHP की कार्यक्षमता के साथ है। कार्यक्षमता का उपयोग करने में आंतरिक रूप से गलत कुछ भी नहीं है जब तक कि आप समझें कि आप वास्तव में क्या कर रहे हैं।

लेकिन इस तरह के एक अमूर्त स्तर पर प्रोग्रामिंग भाषाओं की चर्चा क्या StackOverflow के बारे में है नहीं है।

सी