После прочтения https://stackoverflow.com/review/first-posts/3429940 (действительно ли опасен PHP eval()? )
И http://dhorrigan.com/post/30395987906/is-eval-really-evil-yes-and-no
Мне интересно, есть ли аналогичные проблемы у эквивалента ColdFusion.
Я думаю, что предупреждения о функции PHP являются театральными и немного поверхностными, потому что они сосредоточены на одном конкретном неправильном использовании конструкции, а не на ее общей цели.
evaluate() будет менее подвержен этому, потому что он не может выполнять какой-либо объем кода, он может просто вычислять отдельные выражения (пусть и более одного, выполняемые отдельно и независимо друг от друга).
Дело в том, что это тоже затрагивается в статьях по PHP, просто редко, если вообще когда-либо требуется. Если вы обнаружите, что используете его... вы, вероятно, делаете что-то не так.
Для дальнейшего чтения я обсуждаю это в своем блоге: "evalulate() очень медленный". Сейчас?
evaluate(), которое я когда-либо видел.
- person James A Mohler; 25.11.2013
evaluate, хорошо составленный пост может привести к выполнению некоторого объема кода или, по крайней мере, к утечке информации о приложении. (Игнорируя тот факт, что в любом случае это редко требуется ...) это само по себе является причиной избегать этого, ИМО.
- person Leigh; 25.11.2013
