Autor Zpráva
Petr1234
Profil *
Cau,

jak mam ulozit, respektive v jake "forme" ma do MySQL databaze ulozit PHP kod, tak ze kdyz zaznam z databaze vypisu tak se ten PHP kod provede?

Petr1234
Joker
Profil
Uloží se jako nějaký textový typ, PHP kód je vlastně normální text.
A potom by se asi z databáze uložil do řetězce a provedl pomocí eval()
Alphard
Profil
jako text
při výpisu se použije funkce eval();

ale je to potencionálně velká bezpečnostní díra, ošetři možnost provedení nastrčeného kódu
Nox
Profil
Pokud se přímo jen čte z databáze bez zadávání jakýchkoliv dat uživatelem nebo používání GETu tak je to bezpečné, ne?
Joker
Profil
Nox
Ale potenciální riziko to je vždycky. Pokud web ukládá do databáze i nějaké vstupy od uživatele, díra typu SQL injection může být smrtící.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: