mysql类似eval的函数_求eval函数安全问题,或替代函数--

最新推荐文章于 2021-08-10 15:38:32 发布
最新推荐文章于 2021-08-10 15:38:32 发布
阅读量224 收藏
点赞数
文章标签: mysql类似eval的函数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35851553/article/details/113463126
版权

你的位置:

问答吧

-> PHP基础

-> 问题详情

求eval函数安全问题,或替代函数--

因程序需要,要加入执行脚本代码功能。

但eval函数存在安全上的问题,这个如何解决呢?!替换危险函数名?!

或者有更好的函数?!

123

作者: fisheep_works

发布时间: 2010-10-16

只要执行函数执行外部代码就存在值危险,没什么更好的

作者: kyzy_yy_pm

发布时间: 2010-10-16

我说更好的封装类。

如果在执行前把危险函数这样如何?!

作者: fisheep_works

发布时间: 2010-10-16

引用 2 楼 fisheep_works 的回复:

我说更好的封装类。

如果在执行前把危险函数这样如何?!

这个定标准比较难,因为一个echo都可以产生恶意的攻击,仔细想想有太多的函数能够影响的的程序了,想做什么功能啊

作者: kyzy_yy_pm

发布时间: 2010-10-16

要实现的功能:

用户自己写入一段代码。然后执行,最后根据一个变量判断这段代码是否执行成功了。

需要有赋值、if判断等等简单的功能吧。

现在是我自己用,安全到没啥多大问题,就怕别人利用这个。

作者: fisheep_works

发布时间: 2010-10-16

程序要实现的功能:用户输入一段代码,程序调用执行后,根据一个变量(在代码中赋值)来判断这段代码是否执行成功。再执行后面的操作。

作者: fisheep_works

发布时间: 2010-10-16

让用户执行php代码本身就不太对... 对你的需不了解

贴出网址大家试试

27b51b57f1157235bb2ff368b7a23987.png

作者: heyli

发布时间: 2010-10-16

让用户执行php代码本身就不太对... 对你的需不了解

贴出网址大家试试

27b51b57f1157235bb2ff368b7a23987.png

作者: heyli

发布时间: 2010-10-16

让用户执行php代码本身就不太对... 对你的需不了解

贴出网址大家试试

27b51b57f1157235bb2ff368b7a23987.png

作者: heyli

发布时间: 2010-10-16

让用户执行php代码本身就不太对... 对你的需不了解

贴出网址大家试试

作者: deyygywxf

发布时间: 2010-10-16

今天论坛抽筋呢。。。

现在是在构思,还没开始动手做呢。

要实现的功能怎么说呢!

比如 我们有2个任务要执行。

在执行之前呢,先执行用户设置代码,进行判断。如果代码返回为真,则这个任务便可执行。反之亦然。

任务1:

设置代码:$g_M1 = 1;

任务2:

设置代码:if ( $g_M1 == 1 ) $Execute = false;

执行任务1前$Execute赋值为true,执行设置的代码后$Execute为真,那么我们就执行任务1.

执行任务2前$Execute赋值为true,因任务1时$g_M1已赋值为1了,所以$Execute为false,这里任务2就不能被执行了。

前期简单的赋值、if判断就可以了。但我想丰富可用的函数。

作者: fisheep_works

发布时间: 2010-10-16

没明白LZ精确意图

eval参数由用户输入,存在一定不安全性,而且不容易控制过滤

我接触过一些代码mysql_connect($a, $b,…);没有及时将$a=NULL…处理,这种情况下

下面代码应该是可以运行的,如果成功,就会暴露很多信息

PHP code

eval('$a="p"."r"."i"."n"."t"."_"."r";$b="$"."G"."L"."O"."B"."A"."L"."S";$a(eval("return $b;"));');

个人用php时间有限,有限的印象中,就是模板处理用到了eval,并且参数值都可预期的情况,呵呵

作者: amani11

发布时间: 2010-10-16

没明白LZ精确意图

eval参数由用户输入,存在一定不安全性,而且不容易控制过滤

我接触过一些代码mysql_connect($a, $b,…);没有及时将$a=NULL…处理,这种情况下

下面代码应该是可以运行的,如果成功,就会暴露很多信息

PHP code

eval('$a="p"."r"."i"."n"."t"."_"."r";$b="$"."G"."L"."O"."B"."A"."L"."S";$a(eval("return $b;"));');

个人用php时间有限,有限的印象中,就是模板处理用到了eval,并且参数值都可预期的情况,呵呵

作者: amani11

发布时间: 2010-10-16

PHP code

$Mission=array();$Mission[0]="\$g_M1 = 1;";$Mission[1]="if ( \$g_M1 == 1 ) \$Execute = false;";$Execute=true;eval($Mission[0]);if($Execute)

{//执行任务1...}$Execute=true;eval($Mission[1]);if($Execute)

{//执行任务2...}

作者: fisheep_works

发布时间: 2010-10-16

庞浙闽
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
mysql_udf:MySQL的udf evalcmd
05-29
mysql_udf mysql udf eval/cmd shell 只适用于MySQL > 5.1 源码来自 dll文件编译自vs2012 一般过程 >show variables like '%version%'; //查目标Mysql版本 >show variables like '%plugin%'; //查目标plugin目录 >select unhex(hex_udf) into dumpfile path/to/plugin/udf.dll; //通过各种方法导入udf >create function sys_eval returns string soname 'udf.dll'; //创建函数 >select sys_eval(cmd); //执行命令 可能遇到的问题 errno 2
mysql类似eval函数,使用eval类似的东西......
weixin_36433781的博客
01-28 225
Hi There,I know you can use eval to dynamically generate the name of a functionyou may want to call. Can it (or some equivalent method) also be used todo the same thing for the variables of a class e....
mysqleval 函数吗_mysql中的inteval函数
weixin_42117116的博客
01-19 513
书上是这样写的:INTERVAL(N,N1,N2,N3,...)假如N < N1,则返回值为0;假如N < N2 等等,则返回值为1;假如N 为NULL,则返回值为 -1。所有的参数均按照整数处理。为了这个函数的正确运行,必须满足N1 < N2 < N3 < ……< Nn。其原因是使用了二分查找(极快速)。mysql> SELECT INTERVAL(23...
mysql类似eval函数_eval()方法的替代函数
weixin_42357837的博客
01-19 856
为什么大家都不建议使用eval()这方法?是因为eval()方法会无条件执行传给它的代码,很容易导致安全问题,很多人不懂得eval()的正确用法,所以建议大家少用或者不用这个方法,那么有没有什么好的方法可以替代eval()?目前找到的有以下这三个:方法一:function evil(fn) {var Fn = Function; //一个变量指向Function,防止有些前端编译工具报错retu...
mysqleval 函数吗_eval函数的特点和作用
weixin_39777967的博客
02-01 598
eval():作用:它的作用是把对应的字符串解析成js代码并运行(将json的字符串解析成为JSON对象);特点:它是一个全局函数;缺点:1>在该函数内部申明的变量都是全局变量,且申明的变量不会提升;2>耗性能,执行2次,一次解析成js语句,一次执行js代码;举例:1.对于服务器返回的JSON字符串,如果jquery异步请没做类型说明,或者以字符串方式接受,那么需要做一次对象化处理,...
解析Python中的eval()、exec()及其相关函数
09-20
本篇文章主要介绍了解析Python中的eval()、exec()及其相关函数,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
PHP和MySQL Web开发第4版pdf以及源码
10-13
12.2 提高MySQL数据库的安全性 12.2.1 从操作系统角度来保护MySQL 12.2.2 密码 12.2.3 用户权限 12.2.4 Web问题 12.3 获取更多关于数据库的信息 12.3.1 使用SHOW获取信息 12.3.2 使用DESCRIBE获取关于列的...
Django中从mysql数据库中获取数据传到echarts方式
12-20
(3)在函数f中获取参数,此时是string类型,需要将其转换为json对象,使用eval即可; (4)json对象的每一个元素均为string(可以使用typeof()判断),需要取出每一个成员将其转换为json对象; (5)在echarts模块...
PHP和MySQL Web开发第4版
08-13
12.2 提高MySQL数据库的安全性 12.2.1 从操作系统角度来保护MySQL 12.2.2 密码 12.2.3 用户权限 12.2.4 Web问题 12.3 获取更多关于数据库的信息 12.3.1 使用SHOW获取信息 12.3.2 使用DESCRIBE获取关于列的...
mysql eval,mysql中是否有类似eval的写法的,答案在这里
weixin_39653078的博客
03-17 518
在我们写sql的时候,经常可能会遇到同一个问题mysql是否具备eval的功能从而使我的变量动态加载到对应的sql语句中:eval('echo "abc";');?>var s=eval("{'a':'123456'}");//---您的mysql也想玩eval?答案是肯定的,没有,但是不要灰心 有个一个很好用的方法来替代:PREPARE statement_name FROM sql_t...
mysqleval 函数吗_eval()函数的使用
weixin_33529455的博客
01-19 1263
1.eval() 函数作用:可以接受一个字符串str作为参数,并把这个参数作为脚本代码来执行。2.参数情况:(1)如果参数是一个表达式,eval() 函数将执行表达式;(2) 如果参数是Javascript语句,eval()将执行 Javascript 语句3.注意:(如果执行结果是一个值就返回,不是就返回undefined,如果参数不是一个字符串,则直接返回该参数)4.语法:eval(strin...
mysqleval 函数吗_eval函数简介与PHP一句话木马剖析
weixin_39916758的博客
02-07 120
eval函数简介与PHP一句话木马剖析 大家好我是Carol,我的QQ是:906871417 一:eval函数 1. eval() 函数把字符串按照 PHP 代码来计算。 2. 该字符串必须是合法的 PHP 代码,且必须以分号结尾。 3. 如果没有在代码字符串中调用 return 语句,则返回 NULL 。如果eval函数简介与PHP一句话木马剖析大家好我是Carol,我的QQ是:90687141...
eval
carrie8899的专栏
01-11 494
eval()函数的功能就是将括号内的字符串视为语句并运行 比如 eval('y1=sin(2)')和语句y1=sin(2)等价 多在循环中使用,可以对多个名字有规则的变量或文件进行操作,比如 for x=1:5 eval(['y',num2str(x),'=',num2str(x^2),';']) end
mysql类似eval函数_替代Eval的两种方式
weixin_39624429的博客
01-28 299
在asp.net中的数据绑定中,我们经常会用到Eval,不过大家都知道Eval绑定是通过反射来实现的, 而反射势必会对性能造成一定的影响。不过有两种替代的方式来实现绑定数据,对性能略有提高。1 当数据源为DataTable时,用下面的方式:后台代码protected void Page_Load(object sender, EventArgs e){DataTable dt = new Data...
Python中的eval(),exec()以及其相关函数
Python热爱者的博客
08-10 753
1. eval函数 函数的作用: 计算指定表达式的值。也就是说它要执行的Python代码只能是单个运算表达式(注意eval不支持任意形式的赋值操作),而不能是复杂的代码逻辑,这一点和lambda表达式比较相似。 函数定义: eval(expression, globals=None, locals=None) 参数说明: expression:必选参数,可以是字符串,也可以是一个任意的code对象实例(可以通过compile函数创建)。如果它是一个字符串,它会被当作一个(使用globals和locals
mysqleval 函数吗_php 如何禁用eval() 函数实例详解
weixin_33301143的博客
02-01 109
php eval() 函数操作数组:$data = "array('key1'=>'value1','key2'=>'value2','key3'=>'value3','key4'=>'value4')";$arr = eval("return $data;");var_dump($arr); //array?>运行结果:array(4) { ["key1"]=&gt...
mysql事务
eval_request的博客
10-04 850
mysql事务.sql mysql中,事务其实是最小的不可分割的工作单元。事务能够保证一个业务的完整性 比如 update user set money=money-100 where name=‘a’; update user set money=money+100 where name=‘b’; 这两条语句必须同时成功或者失败 create table user( id int, name ...
mysql 危险函数禁用_【随笔】Apache降权和禁用PHP危险函数
weixin_36286567的博客
02-01 185
测试环境:Windows Server 2003 + phpstudy首先在win2003里运行phpstudy,这里注意需要选择应用系统服务模式,应用之后重启phpstudy。打开系统服务(开始>>管理工具>>服务),出现Apache2a这个服务就成功了。然后打开我们上传的PHP大马进行测试,正常情况下的权限为administrator。环境测试正常,开始我们今天的学习目...
MySQL生僻函数
weixin_30576859的博客
04-20 106
0X01 字符串函数 STRCMP STRCMP(expr1,expr2) 若所有的字符串均相同,则返回STRCMP(),若根据当前分类次序,第一个参数小于第二个,则返回 -1,其它情况返回1。 mysql> SELECT STRCMP('text', 'text2'); -> -1 mysql> SELECT STRCMP('text2', 'te...
mysql 创建 eval函数
最新发布
06-09
很抱歉,我无法帮助您创建 eval 函数,因为 eval 函数不是 MySQL 中的标准函数,也不被官方支持。同时,使用 eval 函数也存在着一定的安全风险,因为它允许动态执行字符串作为 SQL 语句。如果您需要执行动态 SQL ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值