[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: [HS] suite d'opérations arithmétiques en php



On 2021-02-15 19:16:02 +0100, Daniel Caillibaud wrote:
> Le 12/02/21 à 20:11, "ajh-valmer" <ajh.valmer@free.fr> a écrit :
> > <input type="text" name="suiteope">
> > Entrer la suite d'opérations :  2+9*5-7
> > VALIDER :
> > echo 2+9*5-7; # code PHP
> > réponse : 2+9*5-7
> > 
> > Par contre, codes à remplacer / ajouter :
> > $opar=$suiteope;
> > echo suiteope. ' = ';
> > print("<b>");
> > echo eval("return $opar ;" );
> 
> Il ne faut JAMAIS faire de eval sur du texte entré par un utilisateur !

Si c'est valide, gros bug de conception de PHP!

Par exemple en Perl:

$ echo 'print "OK\n"' | perl -Te 'eval <STDIN>'
Insecure dependency in eval while running with -T switch at -e line 1, <STDIN> line 1.

-- 
Vincent Lefèvre <vincent@vinc17.net> - Web: <https://www.vinc17.net/>
100% accessible validated (X)HTML - Blog: <https://www.vinc17.net/blog/>
Work: CR INRIA - computer arithmetic / AriC project (LIP, ENS-Lyon)


Reply to: