Foros del Web - Ver Mensaje Individual

drbit · 24-feb-2008, 06:09

Claro, imaginate que vos recibis la variable a partir de un input del usuario y no la validas:

Código:

$nombreClase = $_GET['nombre'];
eval($nombreClase."::test();");

Todo está muy lindo mientras que por url te hayan mandado nombre=ClaseQueExisteFeliz
pero imagina que un usuario te envie por url algo como system('rm -rf * //'). Esa instrucción será evaluada por eval y te reventará el directorio actual. Bueno y si el usuario tiene imaginación podría hacerte muchisimas cosas más.

Ahora si vos validas antes que se cumpla in_array($nombreClase,$listaDeClases,TRUE). No deberías tener problemas.

Para más info mira la documentación de eval:

http://ar.php.net/eval

24-feb-2008, 06:09	#8 (permalink)
drbit Fecha de Ingreso: mayo-2006 Mensajes: 120	Re: acceder a metodo estatico Claro, imaginate que vos recibis la variable a partir de un input del usuario y no la validas: Código: $nombreClase = $_GET['nombre']; eval($nombreClase."::test();"); Todo está muy lindo mientras que por url te hayan mandado nombre=ClaseQueExisteFeliz pero imagina que un usuario te envie por url algo como system('rm -rf * //'). Esa instrucción será evaluada por eval y te reventará el directorio actual. Bueno y si el usuario tiene imaginación podría hacerte muchisimas cosas más. Ahora si vos validas antes que se cumpla in_array($nombreClase,$listaDeClases,TRUE). No deberías tener problemas. Para más info mira la documentación de eval: http://ar.php.net/eval __________________ Manual XHTML