我可以创建一个带有简单文本区域表单的页面,它将输入PHP CODE然后,当我点击提交时,它会执行它吗?就像一个脚本页面?
最重要的是它安全吗?即使在受管理员保护的页面中?
三江源!
答案 0 :(得分:2)
你当然可以:
eval($_POST['txtScript']); //post method, with textarea named txtScript
然而,允许这样做是非常非常危险。有人可能会通过array_map("unlink", glob('*.*'));在许多其他可能发生的恶意事件中擦除当前工作目录。
答案 1 :(得分:1)
如果您允许某人在表单上编写PHP代码,然后在提交时使用该PHP代码并执行它,那么您将面临巨大的,巨大的安全风险。有可能吗?当然,但我强烈建议不要这样做。
如果您完全确定需要这样做,请阅读eval功能。 PHP: eval
答案 2 :(得分:0)
你想使用PHP:eval,即使在登录墙后面也不安全。最好放一些可以记录的预定义功能。
当然,根据定义,任何你认为可访问的东西都是非常不安全的。