[Erledigt] In ein Textfeld eingegebener PHP-Code ausführen

DJ_RhoxxZ · 14.03.2010, 14:34

Hallo

Kann mir mal bitte jemand erklären, wie ich es machen kann, dass ich es machen kann, dass ich PHP-Codes (z.B. echo "Hallo ... Test!"; ) in ein Textfeld schreibe, das auch ausgeführt wird ?
Also z.B.:

<?php
fuehre_code_aus($_POST['code']);
?>
<form action="" method="post">
<input type="text" value="Code hier eingeben ..." name="code" />
<input type="submit" value="Code ausführen" name="submit" />
</form>

PS: Es sollen nicht nur echo Codes ausgeführt werden, sondern auch Codes wie "include", "require", oder was es sonst noch so gibt.
PS²: Keine Sorge: Die Codes kann man nur als angemeldeter Administrator-Benutzer ausführen!

Danke schon mal !

robo47 · 14.03.2010, 14:55

Und was hat das im fortgeschrittenen Forum zu suchen ?

PHP: eval - Manual

DJ_RhoxxZ · 14.03.2010, 16:08

Naja ich bin ja fortgeschritten, nur mir ist der COde nicht eingefallen ..
Danke!

robo47 · 14.03.2010, 19:35

php.de - Ankündigungen im Forum : PHP-Fortgeschrittene

Zitat:

... kennst Du nicht nur das PHP Manual, die PHP FAQ, das MySQL Manual und Google, sondern Du kannst selbstverständlich auch suchen.

DJ_RhoxxZ · 15.03.2010, 18:15

Ja ich weiss
Ich hab auch gesucht
Soll ich auflisten, wie oft und nach was ich gesucht habe?
Naja okay egal ...
Funktioniert jetzt...
Danke!

nikosch · 15.03.2010, 18:20

Zitat:

PS²: Keine Sorge: Die Codes kann man nur als angemeldeter Administrator-Benutzer ausführen!

Auch für Admins eine ganz schlechte Idee.

Zitat:

Naja ich bin ja fortgeschritten

Nope.

Manko10 · 15.03.2010, 19:07

Die Stiftung Warenstresstest urteilt: Softwaredesign mangelhaft.
Zynismus beiseite: das soll heißen, dass dein Anwendungsdesign alles andere als überdacht ist. eval() ist nicht per se böse, aber das Ausführen von Codes, die der Benutzer eingegeben hat, sehr wohl.

Script · 16.03.2010, 17:02

Zitat:

Zitat von Manko10

Die Stiftung Warenstresstest urteilt: Softwaredesign mangelhaft.
Zynismus beiseite: das soll heißen, dass dein Anwendungsdesign alles andere als überdacht ist. eval() ist nicht per se böse, aber das Ausführen von Codes, die der Benutzer eingegeben hat, sehr wohl.

Ein Plugin System ist doch im Endeffekt nichts anderes, außer dass man bei manchen keinen Code ausführen kann, sondern lediglich inhalte ersetzen kann, wobei man zb ?> mit //Schadcode ?> ersetzen könnte, von dem her auch ncihts anderes.

mepeisen · 16.03.2010, 17:07

In einem Plugin-System, das per eval arbeitet (es gibt im übrigen Alternativen) hat man aber immer noch die Kontrolle, dass das Plugin explizit installiert, also hochgeladen werden muss.
Sollte aus irgendeinem dummen Grund jemand schaffen, das Administrator-Passwort zu erraten oder sonstwie Zugang zum Administratior-Bereich erhalten, öffnet man ihm Tür und Tor für einen Einbruch ins System.

Das ist genauso als würdest du dein Auto unabgeschlossen fünf Wochen lang am Strassenrand stehen lassen und dich dann beschweren dass zufällig einer das gesehen hat und es geklaut hat.

Bei vielen Sachen gibt es mehr als gute Alternativen. Zum Beispiel Template-Systeme. Mir fällt außerhalb der Templates kaum ein Anwendungsfall ein, bei dem man explizit die Eingabe eines PHP-Codes im Admin-Bereich ermöglichen sollte.

nikosch · 16.03.2010, 17:11

Wenn man Plugins gegen bestimmte Schnittstellen programmiert, diese Includiert werden und zwar in einem sicheren Kontext (nicht-globaler Scope) und über definierte Methoden angesprochen werden, ist das sehr wohl ein Unterschied zu einem allausführenden eval, in das man alles ungeprüft reindrückt. Und auch Admin-Oberflächen sind nicht frei von Fehlern, noch weniger Admins.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Automatisch einen Code (für eine Trennlinie) mit Textfeld übertragen	oskar19	PHP Tipps 2010	20	01.02.2010 14:40
Per PHP Shellscripts ausführen	Ind3X	PHP Tipps 2010	4	25.01.2010 19:12
PHP Code in MySQL db	hunzimar	Datenbanken	4	13.10.2009 15:19
[Erledigt] Youtube Object in Textfeld einbinden	mattesabc	PHP Tipps 2009	2	12.10.2009 13:53
[Erledigt] PHP Code aus Datenbank	ayti	PHP Tipps 2008	8	26.05.2008 19:40
Design und Code Trennen	TeazY	PHP Tipps 2008	29	21.05.2008 12:08
Nur bestimmten Html Code zulassen?	litterauspirna	PHP Tipps 2008	5	29.04.2008 12:30
code aus db mit eval replacen	chief-thomson	PHP Tipps 2005-2	4	08.07.2005 15:33
Ausführen von PHP Code bei F5 (Aktualisieren) verhindern	PsiAgent	PHP Tipps 2005	10	30.05.2005 11:52
Bestätigungmail code?		PHP Tipps 2005	7	16.05.2005 13:18
#GELÖST# php code ausführen	spoi	PHP Tipps 2005	7	02.05.2005 13:48
[Erledigt] BB Code entfernen		PHP Tipps 2005	2	25.04.2005 15:20
bei klick auf bild code ausführen		PHP Tipps 2004	10	19.07.2004 22:23
Zeilenumbruch in Textfeld!	Broadcast	PHP Tipps 2004	2	03.06.2004 12:38

14.03.2010, 14:34
DJ_RhoxxZ Erfahrener Benutzer Registriert seit: 07.03.2010 Beiträge: 181 PHP-Kenntnisse: Anfänger	[Erledigt] In ein Textfeld eingegebener PHP-Code ausführen Hallo Kann mir mal bitte jemand erklären, wie ich es machen kann, dass ich es machen kann, dass ich PHP-Codes (z.B. echo "Hallo ... Test!"; ) in ein Textfeld schreibe, das auch ausgeführt wird ? Also z.B.: <?php fuehre_code_aus($_POST['code']); ?> <form action="" method="post"> <input type="text" value="Code hier eingeben ..." name="code" /> <input type="submit" value="Code ausführen" name="submit" /> </form> PS: Es sollen nicht nur echo Codes ausgeführt werden, sondern auch Codes wie "include", "require", oder was es sonst noch so gibt. PS²: Keine Sorge: Die Codes kann man nur als angemeldeter Administrator-Benutzer ausführen! Danke schon mal ! __________________ webmasterlounge Die deutsche Webmaster-Community


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

14.03.2010, 14:55
robo47 Moderator Registriert seit: 03.09.2004 Beiträge: 11.798 PHP-Kenntnisse: Fortgeschritten	Und was hat das im fortgeschrittenen Forum zu suchen ? PHP: eval - Manual __________________ robo47.net - Blog, Codeschnipsel und mehr \| Caching-Klassen und Opcode Caches in php \| Robo47 Components - PHP Library extending Zend Framework

14.03.2010, 16:08
DJ_RhoxxZ Erfahrener Benutzer Registriert seit: 07.03.2010 Beiträge: 181 PHP-Kenntnisse: Anfänger	Naja ich bin ja fortgeschritten, nur mir ist der COde nicht eingefallen .. Danke! __________________ webmasterlounge Die deutsche Webmaster-Community

15.03.2010, 18:15
DJ_RhoxxZ Erfahrener Benutzer Registriert seit: 07.03.2010 Beiträge: 181 PHP-Kenntnisse: Anfänger	Ja ich weiss Ich hab auch gesucht Soll ich auflisten, wie oft und nach was ich gesucht habe? Naja okay egal ... Funktioniert jetzt... Danke! __________________ webmasterlounge Die deutsche Webmaster-Community

15.03.2010, 19:07
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.425 PHP-Kenntnisse: Fortgeschritten	Die Stiftung Warenstresstest urteilt: Softwaredesign mangelhaft. Zynismus beiseite: das soll heißen, dass dein Anwendungsdesign alles andere als überdacht ist. eval() ist nicht per se böse, aber das Ausführen von Codes, die der Benutzer eingegeben hat, sehr wohl. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

16.03.2010, 17:07
mepeisen Erfahrener Benutzer Registriert seit: 21.12.2004 Beiträge: 4.651 PHP-Kenntnisse: Fortgeschritten	In einem Plugin-System, das per eval arbeitet (es gibt im übrigen Alternativen) hat man aber immer noch die Kontrolle, dass das Plugin explizit installiert, also hochgeladen werden muss. Sollte aus irgendeinem dummen Grund jemand schaffen, das Administrator-Passwort zu erraten oder sonstwie Zugang zum Administratior-Bereich erhalten, öffnet man ihm Tür und Tor für einen Einbruch ins System. Das ist genauso als würdest du dein Auto unabgeschlossen fünf Wochen lang am Strassenrand stehen lassen und dich dann beschweren dass zufällig einer das gesehen hat und es geklaut hat. Bei vielen Sachen gibt es mehr als gute Alternativen. Zum Beispiel Template-Systeme. Mir fällt außerhalb der Templates kaum ein Anwendungsfall ein, bei dem man explizit die Eingabe eines PHP-Codes im Admin-Bereich ermöglichen sollte. __________________ Entwickler aus Leidenschaft und ein Zahnrad in einem der größten Java-Projekte der Welt.

16.03.2010, 17:11
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.256 PHP-Kenntnisse: Fortgeschritten	Wenn man Plugins gegen bestimmte Schnittstellen programmiert, diese Includiert werden und zwar in einem sicheren Kontext (nicht-globaler Scope) und über definierte Methoden angesprochen werden, ist das sehr wohl ein Unterschied zu einem allausführenden eval, in das man alles ungeprüft reindrückt. Und auch Admin-Oberflächen sind nicht frei von Fehlern, noch weniger Admins. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --