我可以使用简单的文本区域表单创建一个页面,该表单将输入 PHP 代码,然后,当我单击提交时,它会执行它?就像一个脚本页面?
最重要的是它是安全的吗?即使在管理员保护的页面中?
谢谢你!
你肯定可以:
eval($_POST['txtScript']); //post method, with textarea named txtScript
但是,允许这样做是极其危险的。array_map("unlink", glob('*.*'));
有人可以通过许多其他可以做的恶意事情来擦除当前的工作目录。
如果您允许某人在表单上编写 PHP 代码,然后在提交时获取该 PHP 代码并执行它,那么您将面临巨大的安全风险。有可能吗?当然可以,但我强烈建议不要这样做。
如果您绝对确定需要这样做,请阅读有关该eval
功能的信息。PHP: 评估
你想使用PHP:eval,不,即使在登录墙后面也不安全。最好放一些可以记录的预定义函数。
当然,根据定义,您放置为可访问的任何内容无论如何都是非常不安全的。