eval

(PHP 4, PHP 5, PHP 7, PHP 8)

evalОценивает строку как PHP-код

Описание

eval(string $code): mixed

Языковая конструкция оценивает строку code как PHP-код.

Код, который оценивает конструкция, наследует область видимости переменных той строки, на которой вызвали языковую конструкцию eval(). Каждая переменная, которая доступна на этой строке, будет доступна для чтения или изменения в строке кода, которую оценивает языковая конструкция. При этом функции и классы, которые объявляются в коде, который оценивает конструкция, получат глобальную область видимости. Компилятор рассматривает код, который обработала конструкция, так, как если бы код подключили отдельным файлом.

Предостережение

Языковая конструкция eval() представляет серьёзную опасность, поскольку разрешает выполнять произвольный PHP-код. Поэтому не рекомендуется пользоваться этой языковой конструкцией. Если после тщательной проверки выяснилось, что альтернатив конструкции нет, внимательно проверяют, чтобы без правильной предварительной проверки в языковую конструкцию не передавались пользовательские данные.

Список параметров

code

Корректный PHP-код для оценки и выполнения.

Код нельзя оборачивать открывающим и закрывающим PHP-тегами, то есть необходимо передать строку «echo "Привет!";», а не «<?php echo "Привет!"; >». По-прежнему разрешается переключаться между режимами PHP- и HTML-кода, например: «echo "Код PHP!"; ?>Код HTML<?php echo "Снова код PHP!";».

Кроме этого, в параметр требуется передавать корректный PHP-код. Требование включает и то, что инструкции требуется правильно разделять точкой с запятой. Строка «echo "Привет!"» сгенерирует ошибку синтаксиса, а строка «echo "Привет!";» будет работать.

Инструкция return немедленно прекратит вычисление кода.

Код выполнится в области видимости кода, который вызывал конструкцию eval(). Поэтому переменные, которые определили или изменили в вызове eval(), сохранят видимость после завершения вызова конструкции.

Возвращаемые значения

Языковая конструкция eval() возвращает значение null, если только в вычисляемом коде не вызывается инструкция return. Начиная с PHP 7, если в вычисляемом коде допустили синтаксическую ошибку, конструкция eval() выбрасывает исключение ParseError. До PHP 7 в таких случаях eval() возвращала логическое значение false, а следующий код выполнялся в обычном режиме. Невозможно отловить синтаксическую ошибку в конструкции eval() функцией set_error_handler().

Примеры

Пример #1 Пример использования языковой конструкции eval() — простое слияние текста

<?php

$string
= 'чашка';
$name = 'кофе';

$str = 'Это — $string $name.';

echo
$str. "\n";

eval(
"\$str = \"$str\";");

echo
$str. "\n";

?>

Результат выполнения приведённого примера:

Это — $string $name.
Это — чашка кофе.

Примечания

Замечание: Поскольку это языковая конструкция, а не функция, её нельзя вызывать как функцию переменной или передавать как именованный аргумент.

Подсказка

Как и всё, что выводит результат в браузер, функции контроля вывода можно вызывать, чтобы перехватить выводимые этой функцией данные и сохранять их, например в строку (string).

Замечание:

Весь скрипт завершает работу, если в вычисляемом коде возникла фатальная ошибка.

Смотрите также

  • call_user_func() - Вызывает callback-функцию, заданную в первом параметре

Добавить

Примечания пользователей 7 notes

up
474
Anonymous
20 years ago
Kepp the following Quote in mind:

If eval() is the answer, you're almost certainly asking the
wrong question. -- Rasmus Lerdorf, BDFL of PHP
up
43
lord dot dracon at gmail dot com
9 years ago
Inception with eval()

<pre>
Inception Start:
<?php
eval("echo 'Inception lvl 1...\n'; eval('echo \"Inception lvl 2...\n\"; eval(\"echo \'Inception lvl 3...\n\'; eval(\'echo \\\"Limbo!\\\";\');\");');");
?>
up
21
Jeremie LEGRAND
7 years ago
At least in PHP 7.1+, eval() terminates the script if the evaluated code generate a fatal error. For example:
<?php
@eval('$content = (100 - );');
?>

(Even if it is in the man, I'm note sure it acted like this in 5.6, but whatever)
To catch it, I had to do:
<?php
try {
eval(
'$content = (100 - );');
} catch (
Throwable $t) {
$content = null;
}
?>

This is the only way I found to catch the error and hide the fact there was one.
up
27
bohwaz
12 years ago
If you want to allow math input and make sure that the input is proper mathematics and not some hacking code, you can try this:

<?php

$test
= '2+3*pi';

// Remove whitespaces
$test = preg_replace('/\s+/', '', $test);

$number = '(?:\d+(?:[,.]\d+)?|pi|π)'; // What is a number
$functions = '(?:sinh?|cosh?|tanh?|abs|acosh?|asinh?|atanh?|exp|log10|deg2rad|rad2deg|sqrt|ceil|floor|round)'; // Allowed PHP functions
$operators = '[+\/*\^%-]'; // Allowed math operators
$regexp = '/^(('.$number.'|'.$functions.'\s*\((?1)+\)|\((?1)+\))(?:'.$operators.'(?2))?)+$/'; // Final regexp, heavily using recursive patterns

if (preg_match($regexp, $q))
{
$test = preg_replace('!pi|π!', 'pi()', $test); // Replace pi with pi function
eval('$result = '.$test.';');
}
else
{
$result = false;
}

?>

I can't guarantee you absolutely that this will block every possible malicious code nor that it will block malformed code, but that's better than the matheval function below which will allow malformed code like '2+2+' which will throw an error.
up
8
catgirl at charuru dot moe
6 years ago
It should be noted that imported namespaces are not available in eval.
up
5
divinity76 at gmail dot com
7 years ago
imo, this is a better eval replacement:

<?php
function betterEval($code) {
$tmp = tmpfile ();
$tmpf = stream_get_meta_data ( $tmp );
$tmpf = $tmpf ['uri'];
fwrite ( $tmp, $code );
$ret = include ($tmpf);
fclose ( $tmp );
return
$ret;
}
?>

- why? betterEval follows normal php opening and closing tag conventions, there's no need to strip `<?php?>` from the source. and it always throws a ParseError if there was a parse error, instead of returning false (note: this was fixed for normal eval() in php 7.0). - and there's also something about exception backtraces
up
6
darkhogg (foo) gmail (bar) com
14 years ago
The following code

<?php
eval( '?> foo <?php' );
?>

does not throw any error, but prints the opening tag.
Adding a space after the open tag fixes it:

<?php
eval( '?> foo <?php ' );
?>
To Top