| Autor | Zpráva | ||
|---|---|---|---|
| Sobky Profil |
Zdravím, chcel by som vedieť či je možné do databázy ukladať php script. Lebo som to skúšal ale vypíše mi to ako text nie echo čo som tam uložil.
Používam TinyMCE editor a ten to vkladá do php... |
||
| Joker Profil |
Sobky:
Tak po načtení z databáze se ten skript musí ještě vyhodnotit. Pokud je opravdu potřeba mít skripty v databázi, jejich načtení je pak jedna z mála situací, kdy se skutečně má použít eval.
|
||
| Keeehi Profil |
#3 · Zasláno: 3. 4. 2015, 20:58:40
Sobky:
Rád bych zdůraznil, že je to velmi nebezpečné. Pokud se někde objeví chyba a útočníkovi se podaří něco do databáze zapsat, tak za normálních okolností půjde o javascript. To je sice nepříjemné ale nemusí to být fatální. Pokud se mu však podaří něco zapsat do tvé databáze tak získá absolutní kontrolu nad tvými stránkami. |
||
| Alphard Profil |
#4 · Zasláno: 3. 4. 2015, 21:24:18
Nejde jen o bezpečnost, jde i správu kódu, vždyť toto řešení (pokud nejde o naprosté triviality) značně zkomplikuje udržování závislostí, nasazovací mechanismus a sníží schopnosti IDE napovídat a refaktorovat.
Jak jsem pochopil dotaz, cílem je pomocí WYSIWYG editoru něco vkládat do článku, např anketu, nevím. Myslím si, že tady použití eval není vhodné, měl by být vytvořen jazyk, který umožní vložení vygenerovaného kódu komponenty na patřičné místo článku. „<?php ?> v databáze nefungujú“ Což je ve výchozím stavu naprosto správně. |
||
| Sobky Profil |
#5 · Zasláno: 3. 4. 2015, 21:28:25
Tak ja som tam len chcel napísať include... Ale asi t bude lepšie spraviť inak
|
||
| Alphard Profil |
#6 · Zasláno: 3. 4. 2015, 21:41:42
Sobky:
„Ale asi t bude lepšie spraviť inak“ Určitě. Přerušení echo, naincludování souboru, pokračování echo |
||
|
Časová prodleva: 9 let
|
|||
0