RFpro.ru: Программирование на PHP

  Все выпуски  

RusFAQ.ru: Программирование на PHP


Информационный Канал Subscribe.Ru

РАССЫЛКИ ПОРТАЛА RUSFAQ.RU

/ КОМПЬЮТЕРЫ И ПО / Языки программирования / PHP

Выпуск № 247
от 05.02.2006, 09:03

Администратор:Калашников О.А.
В рассылке:Подписчиков: 225, Экспертов: 38
В номере:Вопросов: 1, Ответов: 2


Вопрос № 34431: Здравствуйте. Есть функция eval(); Я использую шаблоны в которых указаны переменные для отображения int, string, array[key]. Какова безопасность такого вывода информации? И еще я обнаружил что можно выводить и свойства ...

Вопрос № 34.431
Здравствуйте.
Есть функция eval();

Я использую шаблоны в которых указаны переменные для отображения
int, string, array[key].
Какова безопасность такого вывода информации?

И еще я обнаружил что можно выводить и свойства объектов.
Как нибудь можно ужесточить вывод для данной функции. например запретить обработку свойства объекта или элемента массива?
Заранее спасибо:)
Отправлен: 30.01.2006, 18:11
Вопрос задал: Оськин Дмитрий Владимирович (статус: Посетитель)
Всего ответов: 2
Мини-форум вопроса >>> (сообщений: 0)

Отвечает: Дмитрий Иванов
Здравствуйте, Оськин Дмитрий Владимирович!

безопасность использования eval зависит напрямую от програмиста, каких либо особых механизмов защиты в ней не предусмотренно.
---------
ставя оценку - подумай, может ты не все описал.
ниже пятерки оценок не существует!
Ответ отправил: Дмитрий Иванов (статус: Студент)
Отправлен: 30.01.2006, 22:04

Отвечает: RedDevil
Здравствуйте, Оськин Дмитрий Владимирович!
Дмитрий Иванов, на мой взгляд просто объяснил, хотелось бы добавить, что если генерация eval происходит, через данные введеные пользователем, то можно ждать сюрпризов.
Я, например, если нужно, использую инфорацию введеную пользователем для инициализации своей переменной, при этом если допустимого варианта нет, то инициализурую ее по умолчанию. Этот вариант подходит для чисел, для строк нужно использовать регулярные выражения.
Если же eval использует не переменные введеные пользователем, а например, переменные с другой подключаемой веб-страницы, то сюрпризов быть не должно.

Насчет второго я не понял. Можно выводить и свойства объектов, только программист их и может использовать, как он напишет прогу, так она и будет все генерировать, при чем тут безопасность, зачем чего-то запрещать.
Ответ отправил: RedDevil (статус: 4-ый класс)
Отправлен: 31.01.2006, 08:02


Отправить вопрос экспертам этой рассылки

Приложение (если необходимо):

* Код программы, выдержки из закона и т.п. дополнение к вопросу.
Эта информация будет отображена в аналогичном окне как есть.

Обратите внимание!
Вопрос будет отправлен всем экспертам данной рассылки!

Для того, чтобы отправить вопрос выбранным экспертам этой рассылки или
экспертам другой рассылки портала RusFAQ.ru, зайдите непосредственно на RusFAQ.ru.


Форма НЕ работает в почтовых программах The BAT! и MS Outlook (кроме версии 2003+)!
Чтобы отправить вопрос, откройте это письмо в браузере или зайдите на сайт RusFAQ.ru.


© 2001-2006, Портал RusFAQ.ru, Россия, Москва.
Идея, дизайн, программирование: Калашников О.А.
Email: adm@rusfaq.ru, Тел.: +7 (926) 535-23-31
Авторские права | Реклама на портале
Яндекс Rambler's Top100

Subscribe.Ru
Поддержка подписчиков
Другие рассылки этой тематики
Другие рассылки этого автора
Подписан адрес:
Код этой рассылки: comp.soft.prog.phpplus
Архив рассылки
Отписаться Вебом Почтой
Вспомнить пароль

В избранное