EPFL Logo
fr|en
Se Connecter
Concept

Eval

Résumé
Eval est une fonction utilisée en programmation. Elle est présente dans de nombreux langages interprétés et permet d'exécuter une commande à partir d'une chaîne de caractères (ou String) générée par le programme lui-même en cours d'exécution. Voici un exemple en php, ces deux lignes sont absolument équivalentes : c=1+c = 1 + b; echo c;eval(c; eval('c = 1 + b;echob; echo c;'); Une évaluation à travers une chaîne de caractères au cours de l'exécution permet facilement de : Placer du code dans une base de données pour une exécution ultérieure Permettre quelques raccourcis d'écriture ou des "astuces" pour simplifier la programmation Exécuter un fichier extérieur Accéder dynamiquement à une variable ou une fonction à partir de son nom Protéger du code (en décodant à la volée le code source protégé) Puisqu'un programme utilisant eval ne peut pas être complètement compilé (on peut toujours avoir besoin d'un élément dans un eval, donc nombre d'optimisations habituelles sont très compliquées), ces programmes sont par nature plus lents qu'un programme compilé. Ceci en considérant qu'on utilise eval sans en avoir besoin, car ses raccourcis d'écriture permettent une programmation plus rapide. Malgré la puissance de cette fonction et de ses possibilités, eval n'est pas très utilisé. Et ceci car son utilisation rend le code plus complexe à comprendre et en partie car cette fonction est considérée comme « superflue » et « sale ». Eval est un vrai problème au niveau de la sécurité en php. Surtout pour les programmes qui ont accès à des données confidentielles. Il est fortement conseillé de vérifier au maximum la façon de générer la chaîne qui sera exécutée. Un exemple d'une attaque par eval en php : input=input = _POST['action']; eval(input)codehtmlnepermetque"Connexion()""Deconnexion()"et"Lecture()"Attaquecreˊersaproprepagehtmlquientreuneautrevaleurcomme"HidingAccess()"Protectionveˊrifieravantdelancerevalqueinput) code html ne permet que "Connexion()" "Deconnexion()" et "Lecture()" Attaque créer sa propre page html qui entre une autre valeur comme "HidingAccess()" Protection vérifier avant de lancer eval que input fait partie des valeurs autorisées.
Source officielle
À propos de ce résultat
Cette page est générée automatiquement et peut contenir des informations qui ne sont pas correctes, complètes, à jour ou pertinentes par rapport à votre recherche. Il en va de même pour toutes les autres pages de ce site. Veillez à vérifier les informations auprès des sources officielles de l'EPFL.

Copyright © 2024 EPFL, tous droits réservés