Eval() is gevaarlijk

Natuurlijk is eval(); gevaarlijk, je voert dan regelrecht een php code uit, je kan zorgen dat dit veilig gebeurt maar als iemand hier toch een lek in vind dan ben je screwed.

Sticky deze tutorial... Eval behoor je eigelijk voor zulke zaken nooit te gebruiken...

Belangrijk punt, zeker voor beginners. Toch is eval hier niet het probleem maar user input validatie imho.

Ik ben het helemaal met Boaz eens dat eval() hier niet het probleem is. Eval() is net zo gevaarlijk als de beperktheid van de kennis van de gebruiker ervan en daarom is deze korte tutorial goed!

Mensen die roepen dat eval() een slechte functie is die je nooit moet gebruiken, moeten zich misschien toe eens afvragen of die mening wel gegrond is. Als je weet wat je doet kan het zijn dat eval() op een gegeven moment een oplossing biedt (alhoewel ik het zelf nog nooit gebruikt heb). Het advies is dan ook niet 'niet gebruiken' maar 'pas op met het gebruik'...

@Blanche: Het advies is dan ook niet 'niet gebruiken' maar 'pas op met het gebruik'...

Dat is ook mijn mening. Maar zoals je zelf waarschijnlijk ook regelmatig hebt gezien wordt vaak de input klakkeloos in de eval() gezet. En dat gaat gewoon op een keer fout. Vandaar dit stukje schrijven.

Eval zelf is totaal ongevaarlijk. Maar als je het icm met user input gebruikt is het wel gevaarlijk, maar dat is sql zonder validatie ook als er user input wordt gebruikt.
Je moet iig zorgen dat je eval zo min mogelijk gebruikt om deze reden en omdat het redelijk traag is. Probeer altijd een omweg te zoeken door op één of andere manier met een functie te werken die aangeroepen wordt.

@SanThe: dat bedoel ik ook met mijn post. Ik ben blij dat je het opgeschreven hebt, dit is zeker handig voor beginners! :)

Eval is niet gevaarlijk, je moet gewoon je get/post data filteren?

@Niborx:
En als een gebruikers of hacker toch een manier vind zodat die filtering geen nut heeft?

Gewoon geen eval gebruiken zou ik zeggen, is nergens écht voor nodig.

Wat trouwens ook kan gebeuren en waar je bijna niks tegen kunt doen is dat de gebruiker functies uit kan voeren, chmodden, bestanden verwijderen etc.

Dit is wederom een kwestie van het controleren van user input en heeft dus meer daar mee te maken dan met de functionaliteit van eval() zelf.

Het is dus ook onzin dat je daar 'bijna niets tegen kunt doen'. Het kan juist heel eenvoudig: controleer alle user input goed.

Geef één voorbeeld waarbij het noodzakelijk is om eval te gebruiken? Volgens mij zijn er altijd andere oplossingen.

Inderdaad, volgens mij zijn het voornamelijk situatie's waar de scripter te 'lui' is om 'ingewikkelde' oplossingen te maken.
Ik gebruik eval alleen voor een testscriptje, zodat ik niet een nieuwe pagina aan hoef te maken.

Zoals ik eerder al zei: ik ben zelf nog nooit zo'n situatie tegengekomen en vraag me ook af of ik het ooit nodig zal hebben.

Maar dan nog, men roept al heel snel dat bepaalde functies niet gebruikt moeten worden zonder daar enige correcte argumentatie voor te geven. Dat is waar ik over val, niet het gebruik van eval().

Hoe wil je user input controleren op functies, je kan niet elke functie weg gaan filteren, daarnaast kun je zelf ook nog functies maken.

@Nibulez
Nee, dit kan inderdaad niet, maar je kan wel controleren voor alles wat wel mag. Bijvoorbeeld bij berekeningen, kan je filteren op alle functies die men wel mag gebruiken (denk aan abs(), sqrt(), pow(), sin(), cos() en tan()). Als er dan iets anders in zit, kan je een error teruggeven. Dat is veel sneller dan alles wat men niet mag gebruiken controleren. Verder zou je bij berekeningen intval() kunnen gebruiken, als het om numerieke functies gaat. Dan kan iemand nooit iets met een functie beginnen.

Het gaat hier toch niet perse om eval() user input moet je altijd controleren op escapen.