Aller au contenu

Sujets conseillés

Posté

Bonjour,

J'ai un petit soucis.

Je souhaiterais intégrer toute une page web dans une base de donnée (y compris les scripts php). Je m'explique,

pour faciliter l'accès et la modification des pages, j'ai mis dans ma base de donnée une table pour les pages dans laquelle se trouvent 4 colonnes (code, titre, contenu, pied).

J'ai crée un template de cette sorte :


<?php
connexion a la base de donnée
récupération des champs dans un tableau (PDO)

echo $page['code'];
?>

la je mets tout le header avec le titre ...
puis par exemple
<body>
.
.
.
<?php echo $page['contenu']; ?>
</div>
<p><?php echo $page['pied']; ?></p>
</body>
</html>

Mon problème est le suivant, comment éxecuter le code php qui était insérer dans le champ code ?

Code du type (exemple):

if (isset($_SESSION[''test'']))
{
$_SESSION=array();
session_destroy();
}

En vous remerciant.

Posté

Tu peux utiliser eval(), mais lis-bien les avertissements dans la documentation, et assure-toi bien que les accès à ta base de données sont bien contrôlés, parce que sinon ça peut ouvrir des failles de sécurité énormes.

Jacques.

Posté

J'ajouterais que l'accès à eval() est assez souvent interdit dans le cadre des hébergements mutualisés (ce qui est le cas de ton site) justement à cause de ces failles de sécurité potentielles.

Dans le cas d'OVH c'est permis, du moins ce l'était l'année dernière. Je ne peux pas tester faute de mutualisé. ;)

Posté

est-ce qu'il ne serai pas plus simple et plus sécurisé de parser tes pages avec file_get_contents et file_put_contents ou un mécanisme similaire

  • 2 semaines plus tard...
Posté

Merci pour vos réponses,

certains plugins sous Joomla permet dexécuter un script écrit dans le contenu des article. Est-ce alors dangereux ? Parce qu'apparemment il n'y a pas de remontées négatives sur la sécurité.

Posté

Si ça permet à n'importe qui de mettre du php dans un article qui sera ensuite exécuté sans aucune vérification, alors ça ne qualifie même plus de dangereux, c'est suicidaire. Je suppose et j'espère qu'il y a en fait des limitations...

Jacques.

Posté

Certains CMS permettent l'insertion de PHP dans les pages statiques et les articles (plus rare) mais ces données sont enregistrées dans un fichier PHP présent physiquement sur le serveur. Je ne sais pas si cela peut te donner des pistes pour éviter d'utiliser eval();

Posté

Hum, pourquoi s'embetter, si les deux serveurs sont chez OVH, tous deux doivent pouvoir se connecter au serveur Mysql non?

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...