Kepp the following Quote in mind:
If eval() is the answer, you're almost certainly asking the
wrong question. -- Rasmus Lerdorf, BDFL of PHP
(PHP 4, PHP 5, PHP 7, PHP 8)
eval — Оценивает строку как PHP-код
Языковая конструкция оценивает строку code
как PHP-код.
Код, который оценивает конструкция, наследует область видимости переменных той строки, на которой вызвали языковую конструкцию eval(). Каждая переменная, которая доступна на этой строке, будет доступна для чтения или изменения в строке кода, которую оценивает языковая конструкция. При этом функции и классы, которые объявляются в коде, который оценивает конструкция, получат глобальную область видимости. Компилятор рассматривает код, который обработала конструкция, так, как если бы код подключили отдельным файлом.
Языковая конструкция eval() представляет серьёзную опасность, поскольку разрешает выполнять произвольный PHP-код. Поэтому не рекомендуется пользоваться этой языковой конструкцией. Если после тщательной проверки выяснилось, что альтернатив конструкции нет, внимательно проверяют, чтобы без правильной предварительной проверки в языковую конструкцию не передавались пользовательские данные.
code
Корректный PHP-код для оценки и выполнения.
Код нельзя оборачивать открывающим и закрывающим
PHP-тегами, то есть
необходимо передать строку «echo "Привет!";
»,
а не «<?php echo "Привет!"; >
».
По-прежнему разрешается переключаться между режимами PHP- и HTML-кода, например:
«echo "Код PHP!"; ?>Код HTML<?php echo "Снова код PHP!";
».
Кроме этого, в параметр требуется передавать корректный PHP-код. Требование включает и то,
что инструкции требуется правильно разделять точкой с запятой.
Строка «echo "Привет!"
» сгенерирует ошибку синтаксиса,
а строка «echo "Привет!";
» будет работать.
Инструкция return
немедленно прекратит вычисление кода.
Код выполнится в области видимости кода, который вызывал конструкцию eval(). Поэтому переменные, которые определили или изменили в вызове eval(), сохранят видимость после завершения вызова конструкции.
Языковая конструкция eval() возвращает значение null
,
если только в вычисляемом коде не вызывается инструкция return
.
Начиная с PHP 7, если в вычисляемом коде допустили синтаксическую ошибку,
конструкция eval() выбрасывает исключение ParseError.
До PHP 7 в таких случаях eval() возвращала логическое значение false
,
а следующий код выполнялся в обычном режиме. Невозможно отловить синтаксическую ошибку
в конструкции eval() функцией set_error_handler().
Пример #1 Пример использования языковой конструкции eval() — простое слияние текста
<?php
$string = 'чашка';
$name = 'кофе';
$str = 'Это — $string $name.';
echo $str. "\n";
eval("\$str = \"$str\";");
echo $str. "\n";
?>
Результат выполнения приведённого примера:
Это — $string $name. Это — чашка кофе.
Замечание: Поскольку это языковая конструкция, а не функция, её нельзя вызывать как функцию переменной или передавать как именованный аргумент.
Как и всё, что выводит результат в браузер, функции контроля вывода можно вызывать, чтобы перехватить выводимые этой функцией данные и сохранять их, например в строку (string).
Замечание:
Весь скрипт завершает работу, если в вычисляемом коде возникла фатальная ошибка.
Kepp the following Quote in mind:
If eval() is the answer, you're almost certainly asking the
wrong question. -- Rasmus Lerdorf, BDFL of PHP
Inception with eval()
<pre>
Inception Start:
<?php
eval("echo 'Inception lvl 1...\n'; eval('echo \"Inception lvl 2...\n\"; eval(\"echo \'Inception lvl 3...\n\'; eval(\'echo \\\"Limbo!\\\";\');\");');");
?>
At least in PHP 7.1+, eval() terminates the script if the evaluated code generate a fatal error. For example:
<?php
@eval('$content = (100 - );');
?>
(Even if it is in the man, I'm note sure it acted like this in 5.6, but whatever)
To catch it, I had to do:
<?php
try {
eval('$content = (100 - );');
} catch (Throwable $t) {
$content = null;
}
?>
This is the only way I found to catch the error and hide the fact there was one.
If you want to allow math input and make sure that the input is proper mathematics and not some hacking code, you can try this:
<?php
$test = '2+3*pi';
// Remove whitespaces
$test = preg_replace('/\s+/', '', $test);
$number = '(?:\d+(?:[,.]\d+)?|pi|π)'; // What is a number
$functions = '(?:sinh?|cosh?|tanh?|abs|acosh?|asinh?|atanh?|exp|log10|deg2rad|rad2deg|sqrt|ceil|floor|round)'; // Allowed PHP functions
$operators = '[+\/*\^%-]'; // Allowed math operators
$regexp = '/^(('.$number.'|'.$functions.'\s*\((?1)+\)|\((?1)+\))(?:'.$operators.'(?2))?)+$/'; // Final regexp, heavily using recursive patterns
if (preg_match($regexp, $q))
{
$test = preg_replace('!pi|π!', 'pi()', $test); // Replace pi with pi function
eval('$result = '.$test.';');
}
else
{
$result = false;
}
?>
I can't guarantee you absolutely that this will block every possible malicious code nor that it will block malformed code, but that's better than the matheval function below which will allow malformed code like '2+2+' which will throw an error.
It should be noted that imported namespaces are not available in eval.
imo, this is a better eval replacement:
<?php
function betterEval($code) {
$tmp = tmpfile ();
$tmpf = stream_get_meta_data ( $tmp );
$tmpf = $tmpf ['uri'];
fwrite ( $tmp, $code );
$ret = include ($tmpf);
fclose ( $tmp );
return $ret;
}
?>
- why? betterEval follows normal php opening and closing tag conventions, there's no need to strip `<?php?>` from the source. and it always throws a ParseError if there was a parse error, instead of returning false (note: this was fixed for normal eval() in php 7.0). - and there's also something about exception backtraces
The following code
<?php
eval( '?> foo <?php' );
?>
does not throw any error, but prints the opening tag.
Adding a space after the open tag fixes it:
<?php
eval( '?> foo <?php ' );
?>