php-code mit echo ausgeben lassen

Aceh · 16.12.2011, 18:11

Hallo!
Ich wollte für mich persönlich einen Admin-Bereich basteln, wo ich PHP-Codes in die datenbank eintragen und ausgeben kann.

Es wird zwar alles richtig ausgegeben, jedoch sind die php-codes nicht funktionsfähig.

Wie bekomme ich das funktionsfähig?

So sieht das Grundgerüst aus:

PHP-Code:

  <?php

while($row = mysql_fetch_object($ergebnis))    

{

$feature = "$row->feature";

 
echo"Bei der Variable wird das Feature ausgegeben <br>

$feature";

}

?>

Kleines Beispiel was bei $row->feature drin sein könnte:

PHP-Code:

  <?php

$feature = "

Text, Viel Text <br> 

<table>

<tr>

<td>

<?php 

$id = "345";

$name = "DER_IST_DA";

 
echo'<a href='/index.php?name=$name&id=$id'>KLICK MICH</a>';

?>

</td>

</tr>

</table>

";

?>

Die Ausgabe bei diesem Beispiel ist sowas:
<a href='/index.php?name=$name&id=$id'>KLICK MICH</a>

Stattdessen will ich es funktionsfähig machen und zwar so:
<a href='/index.php?name=DER_IST_DA&id=345'>KLICK MICH</a>

Ich hoffe ihr könnt mir helfen.

tkausl · 16.12.2011, 18:22

PHP-Code:

  exec($feature);

Sei aber vorsichtig damit.

Aceh · 16.12.2011, 18:45

Zitat:

Zitat von tkausl

PHP-Code:

  exec($feature);

Sei aber vorsichtig damit.

danke für die antwort, hab ebend rumgeschaut und auch getestet, leider wird alles andere nicht angezeigt.

wie genau soll ich dies verwenden?

Dark Guardian · 16.12.2011, 20:43

exec() führt Systembefehle aus.

Du suchst... die böseste Funktion dieser Welt die NIEMALS verwendet werden wollte aus genau dem Grund was du versuchst damit umzusetzen.

PHP Code in einer Datenbank abzulegen und per Editor veränderbar zu machen ist mitunter die größte Sicherheitslücke die du dir geben kannst und in 99,9% der Fälle unnötig.

Was hast du damit vor? Dann kann man dir einen Alternativvorschlag machen.

lstegelitz · 16.12.2011, 20:47

Erstmal: PHP Code hat nicht in der Datenbank verloren, genausowenig wie fertiger HTML Code.
Sowas läuft wenn nur über eval() bzw. über "local file inclusion" ab und ist immer eine Sicherheitslücke, weil du dynamischen Code aus unsicherer Quelle zur Ausführung bringst. Sollte dein System kompromittiert werden, gibt es keine Chance festzustellen, wessen Code (deiner oder der des Hackers) ausgeführt wird. Im Falle von Hacker-Code besteht die große Gefahr, das der Hacker über diese Lücke mehr als nur PHP Code in dein System einschleust - im schlimmsten Fall ein Rootkit, über das er dann deinen Server kontrolliert.

(M)ein gut gemeinter Ratschlag: Tu es nicht!

Aceh · 16.12.2011, 21:32

Zitat:

Zitat von lstegelitz

Erstmal: PHP Code hat nicht in der Datenbank verloren, genausowenig wie fertiger HTML Code.
Sowas läuft wenn nur über eval() bzw. über "local file inclusion" ab und ist immer eine Sicherheitslücke, weil du dynamischen Code aus unsicherer Quelle zur Ausführung bringst. Sollte dein System kompromittiert werden, gibt es keine Chance festzustellen, wessen Code (deiner oder der des Hackers) ausgeführt wird. Im Falle von Hacker-Code besteht die große Gefahr, das der Hacker über diese Lücke mehr als nur PHP Code in dein System einschleust - im schlimmsten Fall ein Rootkit, über das er dann deinen Server kontrolliert.

(M)ein gut gemeinter Ratschlag: Tu es nicht!

Hey Super, ich danke dir, das war das was ich gesucht hatte.
Ich hab mich im Internet nach eval umgesehen und so einiges versucht, bis ich zu diesem ziel gekommen bin:

PHP-Code:

 
eval('?>'.$feature.'<?);

Das es ein Sicherheitsrisiko ist, ist mir schon bewusst. Ich werde mein adminbereich mit diesem php-textarea-für-features so stark wie möglich sichern um jegliche manipulierung zu vermeiden.

nikosch · 16.12.2011, 22:07

Zitat:

Das es ein Sicherheitsrisiko ist, ist mir schon bewusst. Ich werde mein adminbereich mit diesem php-textarea-für-features so stark wie möglich sichern um jegliche manipulierung zu vermeiden.

Wer's glaubt wird selig.

Zitat:

$feature = "$row->feature";

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Datum SQL Abfrage	tobias159	PHP Einsteiger	1	28.11.2011 20:58
Ganze Seite mit echo ausgeben möglich?!	Javun	PHP Einsteiger	3	11.06.2011 11:58
[Erledigt] DB auslesen in Formular innerhalb einer While-Schleife	Feldi	PHP Einsteiger	14	09.05.2011 13:51
Sortieren einer XML in PHP	Filgaja	PHP Einsteiger	6	07.05.2011 01:30
[Erledigt] upload mit datenbank	incorrect	PHP Tipps 2010	17	06.06.2010 11:13
[Erledigt] Wie {echo 'checked="checked"';} in php richtig ausgeben	Rutor	PHP Tipps 2010	8	11.02.2010 17:33
Ausgabe erfolgt nicht	Extremefall	PHP Tipps 2009	17	17.12.2009 19:51
HTML Code per 'echo' ausgeben...	halskrause	PHP Tipps 2009	6	08.11.2009 17:28
Zufalls Bild!	coptersimde	PHP Tipps 2009	24	02.03.2009 17:57
Datenbankaufbau und Eintrag?	22hase	Datenbanken	5	04.01.2009 15:18
[Erledigt] Bestimmten Datensatz aus SESSION Array löschen!	litterauspirna	PHP Tipps 2008	13	27.08.2008 18:05
Hash-Werte	Raito	PHP Tipps 2008	10	07.04.2008 15:47
guestbook problem #2		PHP Tipps 2005	7	04.01.2005 11:19
get und if funktion		PHP Tipps 2004	14	23.09.2004 04:01
[Erledigt] tabellen verknuepfen und ergebnisse ueber link ausgeben		PHP Tipps 2004	3	21.09.2004 06:04

16.12.2011, 18:11
Aceh Erfahrener Benutzer Registriert seit: 01.03.2011 Beiträge: 120 PHP-Kenntnisse: Anfänger	php-code mit echo ausgeben lassen Hallo! Ich wollte für mich persönlich einen Admin-Bereich basteln, wo ich PHP-Codes in die datenbank eintragen und ausgeben kann. Es wird zwar alles richtig ausgegeben, jedoch sind die php-codes nicht funktionsfähig. Wie bekomme ich das funktionsfähig? So sieht das Grundgerüst aus: PHP-Code: `<?php while($row = mysql_fetch_object($ergebnis)) { $feature = "$row->feature"; echo"Bei der Variable wird das Feature ausgegeben <br> $feature"; } ?>` Kleines Beispiel was bei $row->feature drin sein könnte: PHP-Code: `<?php $feature = " Text, Viel Text <br> <table> <tr> <td> <?php $id = "345"; $name = "DER_IST_DA"; echo'<a href='/index.php?name=$name&id=$id'>KLICK MICH</a>'; ?> </td> </tr> </table> "; ?>` Die Ausgabe bei diesem Beispiel ist sowas: <a href='/index.php?name=$name&id=$id'>KLICK MICH</a> Stattdessen will ich es funktionsfähig machen und zwar so: <a href='/index.php?name=DER_IST_DA&id=345'>KLICK MICH</a> Ich hoffe ihr könnt mir helfen.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

16.12.2011, 18:22
tkausl Erfahrener Benutzer Registriert seit: 28.01.2010 Beiträge: 615 PHP-Kenntnisse: Fortgeschritten	PHP-Code: `exec($feature);` Sei aber vorsichtig damit. __________________ PS: Wenn ich einen Beitrag schreibe wo NUR [php] drin steht, dann gab es wieder ein Problem mit meinem iPhone...

16.12.2011, 20:43
Dark Guardian Erfahrener Benutzer Registriert seit: 10.10.2009 Beiträge: 2.630 PHP-Kenntnisse: Fortgeschritten	exec() führt Systembefehle aus. Du suchst... die böseste Funktion dieser Welt die NIEMALS verwendet werden wollte aus genau dem Grund was du versuchst damit umzusetzen. PHP Code in einer Datenbank abzulegen und per Editor veränderbar zu machen ist mitunter die größte Sicherheitslücke die du dir geben kannst und in 99,9% der Fälle unnötig. Was hast du damit vor? Dann kann man dir einen Alternativvorschlag machen. __________________ "Alles im Universum funktioniert, wenn du nur weißt wie du es anwenden musst".

16.12.2011, 20:47
lstegelitz Erfahrener Benutzer Registriert seit: 07.09.2009 Beiträge: 4.005 PHP-Kenntnisse: Fortgeschritten	Erstmal: PHP Code hat nicht in der Datenbank verloren, genausowenig wie fertiger HTML Code. Sowas läuft wenn nur über eval() bzw. über "local file inclusion" ab und ist immer eine Sicherheitslücke, weil du dynamischen Code aus unsicherer Quelle zur Ausführung bringst. Sollte dein System kompromittiert werden, gibt es keine Chance festzustellen, wessen Code (deiner oder der des Hackers) ausgeführt wird. Im Falle von Hacker-Code besteht die große Gefahr, das der Hacker über diese Lücke mehr als nur PHP Code in dein System einschleust - im schlimmsten Fall ein Rootkit, über das er dann deinen Server kontrolliert. (M)ein gut gemeinter Ratschlag: Tu es nicht! __________________ Über 90% aller Gewaltverbrechen passieren innerhalb von 24 Stunden nach dem Konsum von Brot.