Hallo,
ich weiß natürlich das eval() absolut unschön ist und das man dies aus gutem Grund nicht verwenden sollte.
Leider kann ich mir das Aktuell grade nicht aussuchen, daher würde mich jetzt Interessieren ob folgendes Beispiel eventuell Angreiffbar ist.
Also mich Interessiert jetzt genau genommen ob irgendwer in der Lage wäre z.B. den PHP Code der durch eval ausgeführt wird zu manipulieren.
ich weiß natürlich das eval() absolut unschön ist und das man dies aus gutem Grund nicht verwenden sollte.
Leider kann ich mir das Aktuell grade nicht aussuchen, daher würde mich jetzt Interessieren ob folgendes Beispiel eventuell Angreiffbar ist.
PHP-Code:
<form action="" method="post">
<input type="test" name="hack" />
<input type="submit" name="submit" value="Greif mich an" />
</form>
<?php
$php = 'echo "<pre>";
print_r($_POST);
echo "</pre>";
if(isset($_POST["submit"])){
echo "</br>Absenden erfolgreich<br />";
echo($_POST["hack"]);
}';
eval($php);
Kommentar