任何人都知道我会如何去做这样的事情。
我有一个 textarea 设置,允许用户编辑页面内容。然后将内容存储在数据库中,并在前端由 php 在 html 模板中检索。类似:
<html>
yada yada...
<?php
echo get_page_contents_by_id($_GET['id']);
?>
yada yada...
</html>
它全部在一个 .php 文件中运行,以防有人想调用它。
我想知道的是,因为我是通过 php 从数据库中获取内容的,有没有什么方法可以检索该内容中的 php 代码并在不进行任何文件写入的情况下仍然运行它。
【问题讨论】:
标签: php html content-management-system
下面是在textarea中执行代码的代码。
<?php
if($_POST){
print_r($_POST);
extract($_POST);
$file = rand(1000,10000); // creating file with random number
file_put_contents($file.'.php', '<?php '.$code.' ?>');
ob_start();
include $file.'.php';
echo ob_get_clean();
unlink($file.'.php'); // deleting the created file after execution.
die('test');
}
?>
<textarea id="testcode" ></textarea>
<input type="submit" onClick="return changePermissions1()" />
<script>
function changePermissions1(){
var code = {};
code['code'] = $("#testcode").val();
var pass_url = "executefile.php"; // there you can pass the code
$.ajax({
type : "POST",
beforeSend : loadingStarts,
url : pass_url,
data : code,
success : function(responseText){`enter code here`
loadingEnds();
alert(responseText);
}
});
}
</script>
【讨论】:
考虑另一种选择。真的。
无论您进行任何安全检查、函数解析等,这仍然是一个极度的坏主意。
一个稍微不那么糟糕的主意,为什么不研究像http://www.smarty.net或http://www.google.com/search?q=php+template+engine这样的模板解决方案
【讨论】:
我尝试做同样的事情,但添加了标签和普通的 HTML 标签。这行不通。如果您需要将 HTML 与 PHP 一起存储,请考虑使用更 XHR 的解决方案,减少对每个页面的 PHP 代码的依赖。
【讨论】:
eval() 正如 James Goodwin 和 Gazler 所说,实际上是从字符串数据执行 PHP 代码的唯一方法。
除了安全后果 - 通过访问您的 mySQL 数据可能会危及您的整个网站 - 这种方法会使代码非常难以调试,因为您必须通过 eval 跟踪所有错误消息()d 代码。
【讨论】:
您可以为此目的使用 eval。
【讨论】:
您可以使用 PHP eval() 方法来执行从数据库返回的 PHP 代码 - 就像它实际上是直接写在您的 PHP 文件中一样。
例如
<?php
eval("echo('hello world');");
?>
打印:
你好世界
【讨论】: