eval()一个有意思的PHP函数

最新推荐文章于 2024-03-28 23:53:45 发布
最新推荐文章于 2024-03-28 23:53:45 发布
阅读量966 收藏
点赞数
分类专栏: php

转自:‘http://yige.org/p/657’

<?php

  
03$str '你好,世界! echo "Hello,";';
04$content eval($str);
05echo 'word!';
06// 执行结果: 
07/*
08Parse error: syntax error, unexpected 'echo' (T_ECHO) in E:\web\www\swoole_test\eval.php(4) : eval()'d code on line 1
09word!
10*/
11            
12?>

二、当 字符串 里有不合法的php代码时,报错。相信大家也都知道!


01<?php
02          
03$str '你好,世界! echo "Hello,";';
04$content eval('?>'.$str);  // 注意,此时eval里 加了  "?>" 字符串
05echo 'word!';
06// 执行结果: 
07/*
08 你好,世界! echo "Hello,";word!
09*/
10          
11?>

三、此时,字符串里面有不合法的 php 代码,但是,不报错了。

        ---因为前面加了"?>"(php结束符),它已经将后面的“字符串”全部当作“字符串”了,是吧!



下面在(三)的基础上,在字符串里嵌入<?php ... ?>模块,相当于html文件里嵌入 php代码一样。它会怎样呢?

01<?php
02      
03$str '你好,世界! <?php echo "Hello,"; ?>';
04$content eval('?>'.$str);
05echo 'word!';
06// 执行结果: 
07/*
08 你好,世界! Hello,word!
09*/
10?>

OK!它会识别 “字符串” 里的 php模块并执行!



上面的例子其实说明了 eval('?>'.$str) 和 eval($str)的作用。

其实,eval($str)的 $str 里面,

如果字符串包含有<?php ... ?>时,

那么$str字符串就必须在<?php ... ?>前加上 “?>”个php的结束符。


 在Ecshop的模版引擎里面,就用了eval('?>'.$str)这种方法,来解析模版中嵌入的php模块---当然在此之前,先将标签解析翻译成了php代码。

PHP的威胁函数PHP代码审计实战
悦分享
07-09 414
不少代码审计者拿到代码就看,他们忽视了“安全是一个总体”,代码安全不少的其余因素有关系,好比上面咱们谈到的PHP版本的问题,比较重要的还有 操做系统类型(主要是两大阵营win/*nix),WEB服务端软件(主要是iis/apache两大类型)等因素。下面列举一些经常使用的函数,也就是下文说的字典(暂略)。咱们面对不少工具以及大牛扫描过n遍的代码,有不少的安全人员有点悲观,而有的官方安全人员也很是的放心本身的代码,可是不要忘记了“没有绝对的安全”,咱们应该去寻找新的途径挖掘新的漏洞。“一切输入都是有害的”。
PHP WebShell 免杀
悦分享
08-01 6361
一般的,利用能够执行系统命令、加载代码的函数,或者组合一些普通函数,完成一些高级间谍功能的网站后门的脚本,叫做Webshell。而php做为一门动态语言,其灵活性很高,因此一直以来Webshell的绕过与检测之间不断的产生着化学反应。Webshell绕过的本质其实是针对不同的检测给予不同的绕过方式,因此首先要了解Webshell是如何检测的。...
ecshop源码分析:smarty模板类
花间词的技术博客
07-13 3050
花了差不多3天半的时间,终
php函数:eval用法
newmarui的专栏
03-21 1241
参考: http://www.w3school.com.cn/php/func_misc_eval.asp 注意事项: 1用法:eval(phpcode)  2.phpcode为字符串类型,每行代码需要带结束符";",否则会提示error $end 的错误 3.注意代码转义: 在使用 用"$"符号时,注意用\$代替$;\t需要写为\\t 代码示例1:在文本框中输入代码并
ecshop includes\cls_template.php(1161) : eval()'d code on line 103
weixin_33737774的博客
09-01 292
做ecshop中又遇到个问题,只是因为写代码太不小心导致一个非常难找的问题。 错误提示如下: Parse error: syntax error, unexpected T_ENDFOREACH in D:\PHPnow\vhosts\127.0.0.3\ecyl\includes\cls_template.php(1161) : eval()'d code on line 103 ...
php有意思函数,eval()一个有意思PHP函数
weixin_32098487的博客
03-11 138
$str = ‘echo "hello";‘;$content = eval($str);echo ‘,word!‘;?>执行结果: hello,word!一、把字符串作为php脚本处理。相信这个大家都知道!$str = ‘你好,世界! echo "Hello,";‘;$content = eval($str);echo ‘word!‘;// 执行结果:/*Parse error: s...
PHP eval正确用法,eval()函数怎么正确的在PHP项目中使用
weixin_42345731的博客
03-25 451
eval()函数怎么正确的在PHP项目中使用发布时间:2020-12-19 15:01:06来源:亿速云阅读:91作者:Leaheval()函数怎么正确的在PHP项目中使用?相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。什么是eval()?eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分...
php后门绕过eval关键字,一些变态的PHP一句话后门收集
weixin_42181929的博客
03-18 1849
这类后门让网站、服务器管理员很是头疼,经常要换着方法进行各种检测,而很多新出现的编写技术,用普通的检测方法是没法发现并处理的。今天我们细数一些有意思PHP一句话木马。利用404页面隐藏PHP小马404 Not FoundNot FoundThe requested URL was not found on this server.@preg_replace("/[pageerror]/e",$_...
【愚公系列】2024年03月 《CTF实战:从入门到提升》 010-Web安全入门(PHP代码执行漏洞)
最新发布
时光隧道
03-28 6万+
PHP代码执行漏洞是一种常见的安全漏洞,也被称为远程代码执行(Remote Code Execution,RCE)漏洞。这种漏洞的发生通常是由于程序员在编写代码时未正确过滤用户输入,导致用户能够将恶意代码插入到应用程序中,然后被解释器执行。攻击者可以利用这种漏洞执行任意代码,从而获取系统权限、窃取数据或者对系统进行进一步的攻击。未过滤用户输入:开发者在使用用户输入时必须进行严格的输入验证和过滤,避免直接将用户输入作为代码执行。eval() 和 exec() 函数
ctf赛题上传一个php木马,从一道CTF题学习PHP反序列化漏洞
weixin_33551941的博客
03-17 934
一、CTF题目前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下:class SoFun{protected $file='index.php';function __destruct(){if(!empty($this->file...
php中的eval,eval()一个有意思PHP函数
weixin_39724287的博客
03-09 215
eval()一个有意思PHP函数PHP#eval2012-12-21 11:03通过代码测试,不做更多解释:$str='echo"hello";';$content=eval($str);echo',word!';//http://yige.org/执行结果:hello,word!?>一、把字符串作为php脚本处理。相信这个大家都知道!$str='你好,世界!e...
eval() 和 with()
weixin_30488313的博客
12-06 98
作用域完全由写代码时的函数声明所决定,js有两种机制可以实现”破坏“我们对作用域的常规理解,通过eval()和with()。 1. eval()函数接受字符串为参数,并将其中的声明提升到eval()函数所在的位置。 function foo(str,num) { eval(str); console.log(b,num); //1,33 } ...
php模板语句evel,PHPeval()的小技巧
weixin_40007515的博客
03-11 249
eval()函数php一个大家都希望禁止的函数,eval()函数非常的危险哦,下面我来给大家介绍phpeval()函数的一些问题与解决办法.一直以来感觉eval()函数似乎不能做赋值运算?网上有些文章也这样说过!比如eval("$a=;");这个式子就会提示错误!是不是eval()函数执行的代码不能做赋值运算了呢,其实不是.这是因为双引号里的变量名被转义了,试问,常量怎么能被赋值呢?不过PH...
python中究极残暴的eval()函数用法,字符串转换的福星
林家大叔
04-25 796
eval()函数十分强大,官方demo解释为:将字符串str当成有效的表达式来求值并返回计算结果。 so,结合math当成一个计算器很好用。 其他用法,可以把list,tuple,dict和string相互转化。见下例子: a = "[[1,2], [3,4], [5,6], [7,8], [9,0]]" b = eval(a) b Out[3]: [[1, 2], [3, 4]
thinkphp和ecmall是怎么输出模板
luguo0816的专栏
01-31 1675
thinkphp2.1   thinkTemplate.class.php, public function load($templateFile,$templateVar,$charset) { $this->tVar=$templateVar; /* loadTemplate($templateFile);主要是编译模板,并
thinkphp 3.x下的任意文件包含(有条件)分析
09-19 465
漏洞原理 实现自己的模版引擎不当,在模版渲染的情况下存在任意变量覆盖漏洞。。 漏洞详情 漏洞位置1 ThinkPHP/Library/Think/View.class.php 需要修改配置文件 指定TMPL_ENGINE_TYPE为php if('php' == strtolower(C('TMPL_ENGINE_TYPE'))) { // 使用PHP原生模板 // 模板阵列变量分解成为独立变量 extract($this->tVar,...
ecshop漏洞修复整理
热门推荐
龚清林的博客
06-01 6万+
1、ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。 路径:/api/client/api.php、/api/client/includes/lib_api.php 参照以下修改: function API_UserLogin($post) { /* SQL注入过滤 ...
ECSHOP的安全检测代码
gaisidewangzhan1的博客
11-10 556
ECSHOP的安全检测代码:: 使用引入文件即可 $url_arr=array( 'xss'=>"\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfer\\-encoding)", ); $args_arr=array( 'xss'=>"[\\'\\\"\\;\\*\\].*\\bon[a-
Ecshop漏洞及修复
欣馨密语
05-11 1451
ECShop存在一个盲注漏洞,问题存在于/api/client/api.php文件中,提交特制的恶意POST请求可进行SQL注入攻击,可获得敏感信息或操作数据库。 路径:/api/client/includes/lib_api.php 参照以下修改: function API_UserLogin($post) { /* SQL注入过滤 */ if (get_magic_...
PHP7+禁用eval函数解决方案
PHP的使用过程中,eval函数一个非常强大的特性,它可以执行一个字符串形式的PHP代码。然而,这个功能也存在很大的安全风险,因为恶意用户可以利用eval函数执行任意PHP代码,进而可能导致服务器被攻破。因此,在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值