Foros del Web - Ver Mensaje Individual

enlinea777 · #12 (**permalink**) 21/05/2012, 16:45

$sql="SELECT COUNT(dtalle_lic),licencias.dtalle_lic,tbl_licenci as.cod_licencia,tbl_licencias.cod_fun,fun.cod_fun, fun.cod_lic,licencias.cod_lic,licencias.dtalle_lic ,
tbl_licencias.cod_exp,expensas.cod_exp,expensas.to tal,SUM(expensas.total) as suma

FROM tbl_licencias,fun,licencias,expensas

WHERE tbl_licencias.cod_fun=fun.cod_fun AND fun.cod_lic=licencias.cod_lic AND tbl_licencias.cod_exp=expensas.cod_exp
GROUP BY dtalle_lic
";
$result=mysql_query($sql,$link);
while($row=mysql_fetch_array($result)){
$array=str_split($row[0]);
foreach($array as $i=>$value){
eval("\$num".($i+1)."=\$value;");
}
echo "$row[0]";
}

el tema de seguridad es por que sensillamente al ver el tipo de manejo del eval puedo pensar facilmente en un exploid para hakear el sitio que esta hacinedo.

podrias buscar en google "php exploid eval", personalmente pienso que un eval se usa solo cuando es estrictamente necesario.

esta bien es un campo de 1 pero si no sabe los problemas quiza lo use para solucionar oteas cosas y lamenntablemente caiga en un error.

mira el texto extaido del manual oficial de PHP

Precaución

Cita:

El constructor de lenguaje eval() es muy peligroso porque permite la ejecución de código de PHP arbitrario. Su uso está totalmente desaconsejado. Si se ha verificado cuidadosamente que no existe otra opción que usar este constructor, se ha de poner especial atención en no pasar ninguna información proporcionada por el usuario a esta función sin haberla validado apropiadamente con anterioridad.

aclaro no es que este mal pero tambien hay que poner los contras.

referencia: http://www.php.net/manual/es/function.eval.php