Quand devriez-vous éviter d'utiliser « eval() » en PHP ?

Eval en PHP : quand est-ce préjudiciable ?

Question :

Est-il conseillé d'utiliser eval() dans PHP, surtout lorsqu'une alternative plus élégante, comme celle fournie ci-dessous, est disponible ?

$type = "enum('a','b','c')";

// Option one
$type_1 = preg_replace('#^enum\s*\(\s*\'|\'\s*\)\s*$#', '', $type);
$result = preg_split('#\'\s*,\s*\'#', $type_1);

// Option two
eval('$result = '.preg_replace('#^enum#','array', $type).';');

Réponse :

Bien que eval() ait la réputation d'être indésirable, ce n'est pas intrinsèquement mauvais. Ses capacités d’évaluation dynamique peuvent être avantageuses. Cependant, la prudence est de mise en raison des pièges potentiels suivants :

• Entrée non sécurisée : L'exécution d'une entrée non fiable via eval() peut compromettre la sécurité du système.
• Complexité du code : Eval() complique le code, le rendant plus difficile à comprendre.

Règle générale :

• Option 1 : Utilisez eval() uniquement lorsque c'est optimal ou nécessaire solution.
• Option 2 : Explorez des méthodes alternatives pour la plupart cas.
• Attention : En cas de doute, évitez eval() et recherchez d'autres options.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!