首页  >  文章  >  后端开发  >  php中的eval()与create_function()

php中的eval()与create_function()

无忌哥哥
无忌哥哥原创
2018-06-28 14:56:287014浏览

 * eval()与create_function()

 * 一、eval()

 * 1.eval()函数把字符串按照 PHP 代码来计算

 * 2.该字符串必须是合法的 PHP 代码,且必须以分号结尾

 * 3.如果没有在代码字符串中调用 return 语句,则返回 NULL

 * 4.如果代码中存在解析错误,则 eval() 函数返回 false

 * 5.该函数对于在数据库文本字段中供日后计算而进行的代码存储很有用

 * 二、create_function('参数','函数体代码'):创建匿名函数

//以下二条语句功能完全一样

eval('echo 4+5;');  //输出9
echo eval('return 4+5;'); //返回9并显示在屏幕上

//尽管上面二条语句功能一样,但返回值不相同

//所以,如果想要引用eval()返回值,必须在语句字符串中使用return

var_dump(eval('echo 4+5;')); //返回 NULL
var_dump(eval('return 4+5;')); //返回 9

//eval()注入攻击演示

isset($_GET['p']) ? eval($_GET['p']) : null;

//现在在url后面添加 ?p=phpinfo(); 或其它php合法语句,会直接执行,注入成功

//你可以加入你的广告,你的跳转地址等,达到恶意攻击的目的

//用create_functoin()创建匿名函数

//因为该函数已被弃用,部分编辑器会给出警告,多说无益

//知道这个函数曾经来过这个世界上就足够了

$func1 = create_function('$a,$b', 'return ($a+$b);');
echo $func1(10,20);

以上是php中的eval()与create_function()的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn