Новая тема   Ответить

 Vyacheslav
Пример:
есть файл с именем test.php
Код:
После выполнения внутри test.php будет строка <?php include "some-file.php" ?>, которая не интерпретируется php, а идёт как текст. Существуют ли конструкции, которые позволят выдать строковую переменную так, чтоб если внутри этой переменной будет php код, то он будет выполнен а всё остальное вылезет текстом?

Смысл в том, что есть текстовый темплейт, который обрабатывается налету и в нём есть елемнтарные вставки <?php include блоков повторяющегося кода.

 ibiz
http://php.net/eval

 Pentarh
Предлагаю ввести уголовную ответственность за использование eval() в коде

 Ailk
кури в сторону ob_start. Там примеры есть.

 Stek
ob_start вообще то с буфером вывода работает. Курить именно eval надо, ну или траву, что полегче

 ibiz
Pentarh писал:

вам шашечки ли ехать?
можно и распарсить регэкспом входящие данные и отформатировать и сделать кучу проверок, но зачем усложнять себе жизнь, когда можно сделать за 5 минут и все заработает

 Vyacheslav
Мда, прийдётся заменить инклуды на свои токены.

 Ailk
Stek писал:
Ну да, как я понял что-то текстовое выводит тот инклуд, самое то получается. не евал же в самом деле. К тому же буфер можно в переменную засунуть.

 Pentarh
ibiz писал:
Как бывший админ говорю. Все remote code execution уязвимости на eval строятся. По этому нужно возбуждать уголовное дело против разраба за такие шутки

 rickdeckard
например сохраняй в php://memory и php://temp
другой вариант eval как уже говорили - не слушай тех кто говорит что нельзя использовать eval - они нифига не знают инструмент (как защитить свои скрипты) программируют только через гугл и на фремворках готовых.

 Stek
rickdeckard писал:
Что именно ты туда собрался сохранять и зачем ?

 sniffer7
лучше использовать нормальные шаблоны вроде http://twig.sensiolabs.org/

а если совсем нужно, то можно ограничить возможности кода и вместо eval использовать что-то вроде http://symfony.com/doc/current/components/expression_language/introduction.html

 zap
-