Kepp the following Quote in mind:
If eval() is the answer, you're almost certainly asking the
wrong question. -- Rasmus Lerdorf, BDFL of PHP
(PHP 4, PHP 5, PHP 7, PHP 8)
eval — Avalia uma string como código PHP
Avalia a string fornecida no parâmetro code
como um código PHP.
O código a ser avaliado herda o escopo de variáveis da linha na qual a chamada a eval() ocorrer. Todas as variáveis disponíveis naquela linha estarão disponíveis para leitura e modificação no código avaliado. Entretanto, todas as funções e classes definidas serão definidas no espaço de nomes global. Em outras palavras, o compilador considera o código avaliado como se ele fosse um arquivo incluído separadamente.
A construção de linguagem eval() é bastante perigosa porque permite execução de código PHP arbitrário. Seu uso é contudo desencorajado. Se foi cuidadosamente verificado que não há outra opção a não ser usar esta construção, deve-se prestar atenção especial para não passar nenhum dado fornecido pelo usuário no parâmetro sem antes validá-lo.
code
Código PHP válido a ser avaliado.
O código não pode ser envolvido em
etiquetas PHP de abertura e de fechamento, isto é,
'echo "Hi!";'
deve ser passado ao invés de
'<?php echo "Hi!"; ?>'
. Ainda é possível sair e re-entrar
no modo PGP usando-se os marcadores apropriados, ex.:
'echo "In PHP mode!"; ?>In HTML mode!<?php echo "Back in PHP mode!";'
.
Além disso, o código informado deve ser código PHP válido. Isto inclui o fato de que todas
as instruções devem ser adequadamente terminadas com ponto-e-vírgula.
'echo "Hi!"'
por exemplo causará um erro de avaliação, enquanto que
'echo "Hi!";'
funcionará.
Uma instrução return
irá terminar imediatamente a
avaliação do código.
o código será executado no escopo do código que está chamando eval(). Todas as variáveis definidas ou alteradas na chamada a eval() permanecerão visíveis depois que ela terminar.
eval() retorna null
a menos que
return
seja chamado no código avaliado, neste caso
o valor passado a return
será o retornado. A partir do PHP 7, se houver um
erro de avaliação no código, eval() lança uma exceção ParseError.
Antes do PHP 7, neste caso eval() retornava
false
e a execução do código seguinte continuava normalmente. Não
é possível capturar um erro de avaliação em eval()
usando set_error_handler().
Exemplo #1 Exemplo de eval() example - fusão simples de texto
<?php
$string = 'xícara';
$nome = 'café';
$str = 'Isto é uma $string com meu $nome.';
echo $str. "\n";
eval("\$str = \"$str\";");
echo $str. "\n";
?>
O exemplo acima produzirá:
Isto é uma $string com meu $nome. Isto é uma xícara com meu café.
Nota: Como esta é uma construção da linguagem e não uma função, ela não pode ser chamada usando funções variáveis ou argumentos nomeados.
Assim como qualquer coisa que envia seu resultado diretamente para o navegador, as funções de controle de saída podem ser usadas para capturar a saída desta função e salvá-la em uma string, por exemplo.
Nota:
Em caso de erro fatal no código avaliado, todo o script é terminado.
Kepp the following Quote in mind:
If eval() is the answer, you're almost certainly asking the
wrong question. -- Rasmus Lerdorf, BDFL of PHP
Inception with eval()
<pre>
Inception Start:
<?php
eval("echo 'Inception lvl 1...\n'; eval('echo \"Inception lvl 2...\n\"; eval(\"echo \'Inception lvl 3...\n\'; eval(\'echo \\\"Limbo!\\\";\');\");');");
?>
At least in PHP 7.1+, eval() terminates the script if the evaluated code generate a fatal error. For example:
<?php
@eval('$content = (100 - );');
?>
(Even if it is in the man, I'm note sure it acted like this in 5.6, but whatever)
To catch it, I had to do:
<?php
try {
eval('$content = (100 - );');
} catch (Throwable $t) {
$content = null;
}
?>
This is the only way I found to catch the error and hide the fact there was one.
If you want to allow math input and make sure that the input is proper mathematics and not some hacking code, you can try this:
<?php
$test = '2+3*pi';
// Remove whitespaces
$test = preg_replace('/\s+/', '', $test);
$number = '(?:\d+(?:[,.]\d+)?|pi|π)'; // What is a number
$functions = '(?:sinh?|cosh?|tanh?|abs|acosh?|asinh?|atanh?|exp|log10|deg2rad|rad2deg|sqrt|ceil|floor|round)'; // Allowed PHP functions
$operators = '[+\/*\^%-]'; // Allowed math operators
$regexp = '/^(('.$number.'|'.$functions.'\s*\((?1)+\)|\((?1)+\))(?:'.$operators.'(?2))?)+$/'; // Final regexp, heavily using recursive patterns
if (preg_match($regexp, $q))
{
$test = preg_replace('!pi|π!', 'pi()', $test); // Replace pi with pi function
eval('$result = '.$test.';');
}
else
{
$result = false;
}
?>
I can't guarantee you absolutely that this will block every possible malicious code nor that it will block malformed code, but that's better than the matheval function below which will allow malformed code like '2+2+' which will throw an error.
It should be noted that imported namespaces are not available in eval.
imo, this is a better eval replacement:
<?php
function betterEval($code) {
$tmp = tmpfile ();
$tmpf = stream_get_meta_data ( $tmp );
$tmpf = $tmpf ['uri'];
fwrite ( $tmp, $code );
$ret = include ($tmpf);
fclose ( $tmp );
return $ret;
}
?>
- why? betterEval follows normal php opening and closing tag conventions, there's no need to strip `<?php?>` from the source. and it always throws a ParseError if there was a parse error, instead of returning false (note: this was fixed for normal eval() in php 7.0). - and there's also something about exception backtraces
The following code
<?php
eval( '?> foo <?php' );
?>
does not throw any error, but prints the opening tag.
Adding a space after the open tag fixes it:
<?php
eval( '?> foo <?php ' );
?>