您好,登錄后才能下訂單哦!
這篇文章主要介紹php中assert和eval的案例,文中介紹的非常詳細(xì),具有一定的參考價(jià)值,感興趣的小伙伴們一定要看完!
assert 判斷一個(gè)表達(dá)式是否成立。返回true or false;
<?php $s = 123; assert("is_int($s)"); ?>
從這個(gè)例子可以看到字符串參數(shù)會(huì)被執(zhí)行,這跟eval()類似。
不過(guò)eval($code_str)只是執(zhí)行符合php編碼規(guī)范的$code_str。
eval():該函數(shù)對(duì)于在數(shù)據(jù)庫(kù)文本字段中供日后計(jì)算而進(jìn)行的代碼存儲(chǔ)很有用。(在生產(chǎn)中也建議少用)
注意:1.eval()里必須是字符串;
2.eval()里的引號(hào)必須是雙引號(hào),因?yàn)閱我?hào)不能解析字符串里的變量$str;
eval定義和用法:
(1)eval() 函數(shù)把字符串按照 PHP 代碼來(lái)計(jì)算(計(jì)算=執(zhí)行)。
(2)該字符串必須是合法的 PHP 代碼,且必須以分號(hào)結(jié)尾。
(3)如果沒(méi)有在代碼字符串中調(diào)用 return 語(yǔ)句,則返回 NULL。如果代碼中存在解析錯(cuò)誤,則 eval() 函數(shù)返回 false
assert的用法卻更詳細(xì)一點(diǎn)。
assert_option()可以用來(lái)對(duì)assert()進(jìn)行一些約束和控制;
默認(rèn)值
ASSERT_ACTIVE=1 //Assert函數(shù)的開(kāi)關(guān)
ASSERT_WARNING =1 //當(dāng)表達(dá)式為false時(shí),是否要輸出警告性的錯(cuò)誤提示,issue a PHP warning for each failed assertion
ASSERT_BAIL= 0 //是否要中止運(yùn)行;terminate execution on failed assertions
ASSERT_QUIET_EVAL= 0 //是否關(guān)閉錯(cuò)誤提示,在執(zhí)行表達(dá)式時(shí);disable error_reporting during assertion expression evaluation
ASSERT_CALLBACK= (NULL) // 是否啟動(dòng)回調(diào)函數(shù) user function to call on failed assertions
php的官方文檔里頭是建議將assert用來(lái)進(jìn)行debug,我們可以發(fā)現(xiàn)還有一個(gè)開(kāi)關(guān)ASSERT_ACTIVE可以用來(lái)控制是否開(kāi)啟debug。
現(xiàn)在問(wèn)題就產(chǎn)生了,如果程序員在開(kāi)發(fā)的時(shí)候在代碼中留下了很多assert(),然后在程序發(fā)布的時(shí)候關(guān)閉執(zhí)行,設(shè)置assert_options(ASSERT_ACTIVE,0);這樣做是否可行?有沒(méi)有安全問(wèn)題?
既然assert主要作用是debug,就不要在程序發(fā)布的時(shí)候還留著它。在程序中用assert來(lái)對(duì)表達(dá)進(jìn)行判斷是不明智的,原因上文說(shuō)了, 一個(gè)是在生產(chǎn)環(huán)境中assert可能被disabled,所以assert不能被完全信任;二是assert()可以被繼續(xù)執(zhí)行;而如果在生產(chǎn)環(huán)境讓 ASSERT_ACTIVE=1,那這個(gè)表達(dá)式字符串可以被執(zhí)行本身就存在安全隱患。assert引起的代碼注射
例如
<?php function fo(){ $fp = fopen("c:/test.php",'w'); fwrite($fp,"123"); fclose($fp); return true; } assert("fo()"); ?>
注意:assert把整個(gè)字符串參數(shù)當(dāng)php代碼執(zhí)行,eval把合法的php代碼執(zhí)行。
以上是php中assert和eval的案例的所有內(nèi)容,感謝各位的閱讀!希望分享的內(nèi)容對(duì)大家有幫助,更多相關(guān)知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。