 |
Coders' city
Nasza pasja to programowanie!
|
| Zobacz poprzedni temat :: Zobacz następny temat |
| Autor |
Wiadomość |
Chemikk
Dołączył: 26 Sty 2008
Posty: 416
Skąd: Wrocław
|
 Wysłany: Wto Sty 06, 2009 3:14 pm Temat postu: Wykonanie zewnętrznego kodu w PHP |
  |
|
Witajcie. Nie wiem czy dobrze nazwałem temat ale mam taki problem. Chciałbym wykonać zewnętrzny kod PHP (czyli z zapytania do MySQL, a dokładniej, np. na blogu daję jakiś kod w specjalnym tagu i jego zawartość się wykonuje). Wyglądałoby to następująco. Mamy ogólny kod HTML i w nim takie coś
| Kod: |   <parser>echo date("H:m:s");</parser>
|
I mój paser DOM sam szuka tagów <paser> i ich zawartość wykonuje w PHP. Oczywiście jest to na tyle niebezpieczne, że tylko ja mam dostęp do mojego panelu i nikt więcej.
Z góry dziękuję za pomoc.
_________________
http://blog.piklus.pl
"Uuuuuuuur Ahhhhrrrrr Uhrrr Ahhhhrrrrr Aaaarhg" (Chewbacca)
Ostatnio zmieniony przez Chemikk dnia Wto Sty 06, 2009 8:24 pm, w całości zmieniany 1 raz |
|
| Powrót do góry |
|
 |
|
|
jelcyn
Site Admin
Dołączył: 22 Maj 2005
Posty: 1237
Skąd: Rzeszów
|
| Wysłany: Wto Sty 06, 2009 3:20 pm Temat postu: |
|
|
| Kod: | <?php
 $x='echo("aaa");';
 eval($x);
 ?>
|
|
|
| Powrót do góry |
|
|
Chemikk
Dołączył: 26 Sty 2008
Posty: 416
Skąd: Wrocław
|
| Wysłany: Wto Sty 06, 2009 3:28 pm Temat postu: |
|
|
Dzięki Ci :) Teraz tylko się pomęczyć, aby to jakoś złożyć w całość z moim kodem :)
_________________
http://blog.piklus.pl
"Uuuuuuuur Ahhhhrrrrr Uhrrr Ahhhhrrrrr Aaaarhg" (Chewbacca) |
|
| Powrót do góry |
|
|
Taeril
Dołączył: 20 Cze 2005
Posty: 1163
|
| Wysłany: Wto Sty 06, 2009 8:05 pm Temat postu: |
|
|
Chcesz kraść kod? :D paser
Chodziło o parser. Zastanowiłbym się jednak czy to dobry pomysł, bo tak można wykonać cokolwiek. Sensowne przefiltrowanie tego, co pójdzie do eval nie jest warte zachodu, bo to kupa roboty a i tak pewnie coś niepowołanego się przepuści albo coś pożądanego wytnie.
Eval is evil.
_________________
T.
"Some people, when confronted with a problem, think 'I know, I'll use regular expressions.' Now they have two problems." - Jamie Zawinski |
|
| Powrót do góry |
|
|
Chemikk
Dołączył: 26 Sty 2008
Posty: 416
Skąd: Wrocław
|
| Wysłany: Wto Sty 06, 2009 8:23 pm Temat postu: |
|
|
Ale skoro ja prowadzę swojego bloga i ja wpisuje taki kod, i ja tylko mogę tak wykonać, to po co to filtrować ? :)
A tak, pomyliłem słowa ;)
_________________
http://blog.piklus.pl
"Uuuuuuuur Ahhhhrrrrr Uhrrr Ahhhhrrrrr Aaaarhg" (Chewbacca) |
|
| Powrót do góry |
|
|
marcin_an
Site Admin
Dołączył: 26 Maj 2005
Posty: 17273
Skąd: z drugiej strony Kabla
|
| Wysłany: Wto Sty 06, 2009 10:40 pm Temat postu: |
|
|
Nawet jeśli sam sobie ufasz, to nie jest powiedziane, że koniecznie to ty wprowadzisz dane do bazy. Przechwycenie hasła, podpięcie się pod sesje*, sql-injection i ktoś sobie zrobi z twojego skryptu narzędzie do wysyłania spamu lub dalszych ataków. Nie twierdzę, że musisz od razu z eval rezygnować, ale zastanów się, ile na tym zyskujesz, a jakie jest faktyczne zagrożenie i ewentualne szkody. Dajmy na to phpBB korzysta z eval, ale właściwy kod PHP generowany jest przez skrypt na podstawie danych z szablonu, a nie wklejane są bezpośrednio same dane. Zatem zostawiam tą kwestię do przemyślenia.
"Eval is evil", ale czasami wybierając między dwoma złami trzeba wybrać to mniejsze.
_________________
Matematyka to taki twór, który pozwala opisać sokowirówkę jako urządzenie pobierające ujemne odpadki i produkujące z nich sok.
"Lameria atakuje" | RTFM | UMLet - edytor UML inaczej | Wykłady ks.Pawlukiewicza |
|
| Powrót do góry |
|
|
|
|
Możesz pisać nowe tematy
Możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Możesz dodawać załączniki na tym forum
Możesz pobierać pliki z tego forum
|
Debug: strone wygenerowano w 0.09736 sekund, zapytan = 7
|
Pomoc
Szukaj
Użytkownicy
Grupy
Rejestracja
Profil
Zaloguj się, by sprawdzić wiadomości
