TS: php-Code aus Datenbank holen und als lauffähigen Code ins Programm einbinden?

Beitrag lesen

Hello,

Tach!

Es gilt unverändert: eval is evil. Das solltest Du unbedingt lassen!

Das ist ein sehr plakativer Spruch, aber man darf da durchaus differenzieren. Es gibt jedefalls keinen grundsätzlichen Unterschied zwischen eval() und einer Einbindung per include/require. Es muss in beiden Fällen sichergestellt sein, dass der Code nicht manipuliert worden ist.

Genau das wollte ich gestern auch schreiben, aber Du warst schneller.
Die Warnung im PHP-Manual halte ich daher auch für irreführend. Sie wird dort leider nicht weiter relativiert oder erklärt.

Jedenfalls ist ein kaputtes File-Upload-Design verbunden mit Include-Dateien, die innerhalb der Document Root liegen genauso gefährlich.

Glück Auf
Tom vom Berg

--
Es gibt nichts Gutes, außer man tut es!
Das Leben selbst ist der Sinn.