Используя eval() в качестве "переключателя уничтожения" в PHP?

Question

Используя eval() в качестве "переключателя уничтожения" в PHP?

У меня есть несколько плагинов WordPress. Однажды один из моих плагинов сгенерировал ошибку PHP в панели администратора. Это помешало владельцам блогов обновить или удалить мой плагин. Я хочу поместить команды PHP в текстовый файл на моем веб-сайте и заставить плагин периодически проверять страницу на наличие новых команд. Затем используйте eval() для выполнения команд.

Каковы некоторые недостатки этого? Кроме плагина придется сделать дополнительный запрос.

1

php wordpress eval

Источник

user774002 05 июн '11 в 22:41

2 ответа

Другие вопросы по тегам php wordpress eval

user779324 05 июн '11 в 22:43 2011-06-05 22:43 · Answer 1 · 2011-06-05 22:43

Да. В общем eval = зло. В этом случае, если ваша страница будет взломана или скомпрометирована, теперь она может каскадно передаваться всем пользователям вашего плагина. Я настоятельно рекомендую против такого рода действий.

4

Источник

user779324 05 июн '11 в 22:43

user345031 05 июн '11 в 22:57 2011-06-05 22:57 · Answer 2 · 2011-06-05 22:57

Итак, вы облажались плагин и hencyby механизм обновления. Использование удаленного URL include() не является хорошей защитой от этого. Я бы посоветовал вам разделить функциональность плагина и административную часть плагина.

Я понимаю, что WP может не помочь в этом разделении интересов, но это может быть более целесообразным подходом здесь. - Кстати, вы можете получить более конкретные рекомендации или решения на Wordpress.SE для этой темы.