Include z bazy mySQL Opcje

[aleksanderlech]

Witam wszystkich!
Mam następujący problemik:
W bazie mySQL mam pole typu longtexta w nim kawalek kodu HTML.
w ten kod musze wrzucić kilka zmiennych np. $img_dir.

W skrypcie php wybieram dane z ww. pola i w efekcie dostaje prawidłowy kod HTML i wpis $img_dir zamiast zawartości tej zmiennej.
Nadmienię, że skrypt pobierający kod z bazy jest includowany do strony głównej, ale zgodnie z zapisem w manualu zmienna w bazie jest objęta prawidłowymi znacznikami php.

Dlaczego więc taka zawartość w bazie:

Kod

<a href="krajarka.htm" target="mainF">

<img src=" <?php echo $img_dir;?>" alt="WirCUT" border="0"></a>

w efekcie koncowym produkuje coś takiego:

Kod

]<a href="krajarka.htm" target="mainF">

<img src=" <?php echo $img_dir;?>" alt="WirCUT" border="0"></a>

i nie podstawia nazwy katalogu pod zmienna $img_dir?

Pozdrawiam

Olek

[Project]

Uzywajac tej funkcji musisz zwrocic uwage na aspekt bezpieczenstwa...
Jezeli masz register global on to na poczatku skryptu wykorzystujacego eval() musisz poczyscic wszelkie wartoscie zmiennych (przesylanych przez uzytkownika) o tej samej nazwie co zmienna wewnatrz funkcji eval
W przeciwnym wypadku narazony jestes na ataki hackerow!
Scenariusz takiego ataku jest dosc prosty...
Najpierw agresor przeprowadza atak DoS na demona SQL po czym wywoluje skrypt php o odpowiednio spreparowanym adresie (http:serwer.atakowany?skrypt.php?zmienna_eval=kod_PHP_agresora)
Mozna oczywiscie dane wyslac POST lub umiescic w cookiesach!
BADZ OSTROZNY!
No chyba ze bezpieczenstwo serwera nie obchodzi Cie... wtedy podaj adres strony na ktorej to wykorzystujesz (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

POZDRAWIAM