[PHP]Bezpieczeństwo skrypciku - eval();, Prośba o opinie... Opcje

[ixpack]

Napisałem niżej podany kod... Wszystko działa tak jak chcę, ale chciałbym zaciągnąć waszej opinii - czy jest to "bezpieczne"? Wyczytałem na jakimś blogu (nie mogę go znaleźć), że eval(); to zło... - jednak nigdy nie potrzebowałem tego stosować i dlatego "zignorowałem" artykuł - a teraz mam wątpliwości i chciałbym zaciągnąć waszej opinii.

Kiedy można, a kiedy nie wolno stosować eval();? W skrypcie eval nie wywołuje żadnej funkcji, jedynie ify i switche.

Zmienna $lista_voucherow to tablica, która będzie pobrana z bazy danych klienta X - klient nie wprowadza żadnych danych aby tablicę pobrać - dzieje się to w momencie udanego zalogowania.

[PHP] pobierz, plaintext 
session_start();
 
$lista_voucherow = array('10% Off', '20% Off', '30% Off', '40% Off');
 
$control = 0;
foreach ($lista_voucherow as $voucher) {
	if ($_GET['v_off'] == 'a'.$control);
	else $v.= '<li><a href="./tests.php?v_off=a'.$control.'">'.$voucher.'</a></li>';
$test[$control] = $voucher;
$control++;	
}
 
$n=0;
$ax = 'if (($_GET['."'v_off'] && ".'$_GET['."'v_off'] == 'X')";
$case = 'switch($v_off) {';
while($n <= $control-1)
{
$ax.= ' or ($_GET['."'v_off'] && ".'$_GET['."'v_off'] == 'a".$n."')";
$case.= 'case '."'a".$n."'".': $xyz = $v_off; echo $v_off.'."'<br /> <a href=./tests.php?v_off=X>REMOVE '.".'$test['.$n.'].'."'</a>'".'; 
$_SESSION['."'v_off'] = 'a".$n."'".'; break; ';
$n++;
}
 
$ax.=') $v_off = $_GET['."'v_off']; else ".'$v_off = $_SESSION['."'v_off'];";
$case.='case '."'X'".': echo '."'xxxxx'; ".'unset($_SESSION['."'v_off'".']); break; }';
 
eval($ax).'<br />';
eval($case);
 
$controla = 0;
foreach ($lista_voucherow as $voucher) {
	if ($xyz == 'a'.$controla);
	else $va.= '<li><a href="./tests.php?v_off=a'.$controla.'">'.$voucher.'</a></li>';
$controla++;	
}
 
echo $va;
[PHP] pobierz, plaintext 

[Mephistofeles]

Po co tak robisz? To samo możesz zrobić normalnie. Eval jest zły, nie powinno się go używać.

[ixpack]

;] normalnie czyli jak? Odpal skrypt i zobacz jak działa - zaznaczam lista voucherów jest zmienna, a chcę żeby działało tak jak działa

Czyli:
wyświetlamy listę voucherów:
1) voucher a
2) voucher b ...itd.

Gdy klikam na voucher a - to znika on z listy, zostaje zaaplikowany i przypisany do sesji
Gdy aktywny jest voucher a, a kliknę na voucher b - to podmianka... voucher b jest aktywny, a a wraca na listę
Aktywny voucher ma link - do jego usunięcia, gdy go kliknę to wiadomo... Wraca na listę.

Podpowiedz proszę jak to zrobić normalnie (pewnie za bardzo kombinuję i bardziej brnę w błoto :/)

Ten post edytował ixpack 10.12.2010, 16:35:32

[Moli]

Ajaxem

[ixpack]

No tak, jeszcze jakbym umiał to by to załatwiło sprawę.

Czas się w końcu nauczyć :/

Ok dzięki. Poszukam jakiegoś kodu do zerżnięcia i pomieszam - chyba, że ktoś na szybko mi tu maźnie "prototyp"?

[Mephistofeles]

Nie wiem czy dobrze rozumiem, ale nie możesz zapisać po prostu w sesji voucher => a, potem podmienić voucher => b?
Przez ten eval i generowanie kodu niewiele z tego zrozumiałem, Twój post także nie rozwiewa wątpliwości, wyjaśnij co konkretnie robi ten eval, albo daj przykładowy wygenerowany kod.