Autor Zpráva
Martinek
Profil *
#1 · Zasláno: 9. 8. 2008, 23:11:12 · Upravil/a: Moderátor (editace znemožněna)
Odpovědět Citovat
Prosím o radu, je li použití následující funkce na webu bezpečné. Uživatel může do $equation zadat cokoliv.
function calculator($equation)
{
        $equation = preg_replace("/[^0-9+\-.*\/()%]/","",$equation);
        $equation = preg_replace("/([+-])([0-9]+)(%)/","*(1\$1.\$2)",$equation);
        $equation = preg_replace("/([0-9]+)(%)/",".\$1",$equation);

        if ( $equation == "" ) {
                $return = 0;
        } else {
                eval("\$return=" . $equation . ";");
        }
        return $return;
}
Díky moc
Joker
Profil
#2 · Zasláno: 9. 8. 2008, 23:43:10
Odpovědět Citovat
Martinek
Záleží na tom, jakým způsobem je ta funkce použitá. Ale pokud uživatel může zadat cokoliv a projde to až do té funkce, tak to moc bezpečné není.
Když jako vstup zadám třeba: unlink("index.php");
Martinek
Profil *
#3 · Zasláno: 9. 8. 2008, 23:53:51
Odpovědět Citovat
To nic neudělá, to tím regularnim vyrazem neprojde :)
Časová prodleva: 16 let

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0