MySQLデータベースに保存されているPHPを実行するにはどうすればよいですか？

Question

私は、MySQLデータベースに格納されているPHPを呼び出すページを作成しようとしています。 MySQLデータベースに格納されているページには、ページロード時に実行するPHP（およびHTML）コードが含まれています。

これを行うにはどうすればいいですか？

Answer 1

これにはevalコマンドを使用できます。 このアプローチを使用して落とし穴がたくさんあるので、私はこれに反対してお勧めします。デバッグは難しく、セキュリティ上のリスクがあることを意味します（DB内の悪いコンテンツが実行されます）。

たとえば、When is eval evil in php?を参照してください。 Google for EvalはEvilで、別のソリューションを見つけるべき理由の例がたくさんあります。

追加：悪用を参照する別の良い記事はthis blogpostです。不正な評価の使用によって引き起こされた過去のvBulletinとphpMyAdminの悪用を指します。

Answer 2

PHPのeval関数を見ることができます。任意のPHPコードを実行できます。しかし、セキュリティ上の大きなリスクになる可能性があり、避けるのが最善です。

Answer 3

eval()機能は他の応答でここでカバーされました。絶対に必要でない限り、evalの使用を制限する必要があることに同意します。 PHPコードをdbに持つ代わりに、たとえば​​というメソッドを持つクラス名を持つことができます。カスタムPHPコードを実行する必要があるときは、dbからフェッチした名前のクラスをインスタンス化し、->execute()を実行してください。これははるかにクリーンなソリューションであり、大きな柔軟性を提供し、サイトのセキュリティを大幅に向上させます。

Answer 4

ソース管理システムを使用して、さまざまなインストール（およびその中で異なるモジュール）ごとに異なるフォークを保存することを検討しましたか？それは私が考えることができるアプリケーション構成のいくつかのベストプラクティスの1つになります。あなたのものは珍しい要件ではないので、これは過去に他の人によって解決された問題です。データベースにコードを格納することは、参考になるか、またはベストプラクティスとしてアドバイスされるのが難しいと思います。

あなたは明確化を投稿しました。あなたはおそらく、意図せずに適切な質問を検索して回答を提出したでしょう。

Answer 5

簡単：

$x // your variable with the data from the DB 
<?php echo eval("?>".$x."<?") ?> 

助けるが、誰もがそれがどのように悪いと言うために迅速であることがわかり、実際に手助けするのが遅いことはできませんが、多くのアプリケーションでは私のために素晴らしい作品、私に教えてください直接答え...

Answer 6

私はこれをどのように実行する必要があるコードのブロックについて独自の何かを識別するデータベース内のフィールドを持つことです。その1つの単語は、そのコードのファイル名にあります。私は一緒にphpファイルを指すように文字列を入れます。例：

$lookFor = $row['page']; 

include("resources/" . $lookFor . "Codebase.php"); 

このように、ハッカーがあなたにアクセスできたとしても、悪意のあるコードを直接そこに置くことはできませんでした。彼はおそらく参照語を変更することができるかもしれませんが、実際にファイルをサーバーに直接置くことができないと、彼は良い結果を得ません。サーバーに直接ファイルを置くことができれば、本当に厄介なことをしたいのであれば、あなたは沈んでしまいます。ちょうど私の2セント価値。

はい、ストアドコードを実行する理由はありますが、問題があります。

Answer 7

データベースから

読むのPHPコードと一意の名前でファイルに保存し、実行するPHPコードやデバッグには、この簡単な方法は、ファイル が含まれます。この質問のための

$uniqid="tmp/".date("d-m-Y h-i-s").'_'.$Title."_".uniqid().".php";  
$file = fopen($uniqid,"w"); 
fwrite($file,"<?php \r\n ".$R['Body']); 
fclose($file);       
// eval($R['Body']); 
include $uniqid;