Discussion :

[yannprada]

Bonjour,

J'ai ce bout de code que j'ai copié depuis un sujet résolu et que j'ai arrangé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
try {
	if(!@eval($expr))
		throw new exception('parse error on $expr with eval');
} catch(Exception $e) {
	return false;
}

Le but est :
- quand la fonction eval fonctionne, ne rentre pas dans le catch;
- sinon, rentres-y.

Le souci, c'est que le script rentre tout le temps dans catch. Comme je ne connais pas le fonctionnement du @, j'ai du mal a percer l'erreur du code.

Donc, si quelqu'un aurait la gentillesse de m'éclairer...
Merci !

[sabotage]

Le @ sert a cacher les erreurs.
Mais je ne pense pas que ton problème vienne de là : eval() ne retourne pas d'erreurs quand le code n'est pas bon, juste FALSE.

[yannprada]

Déjà merci pour l'explication du @.

Je viens de découvrir que eval renvoie null s'il n'y a pas d'erreur, et false effectivement s'il y en a.

Du coup l'idée serait de différencier null et false. Pas terrible mais je vais tester...

[sabotage]

Pour differencier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if ($retour === FALSE)

[yannprada]

Pas mal du tout ! Merci

[Benjamin Delespierre]

@eval() = satan² !

Si vraiment (c'est à dire, contraint sous la menace avec un flingue dans la bouche et deux kilos de C4 à la ceinture) on te force à utiliser eval(), la meilleure façon de procéder serait selon moi la suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
set_error_handler(function () use (& $err) {
    // on va éviter d'avoir les erreurs qui "remontent"
    $err = true;
});
 
try {
    $err = false;
    $res = eval($foobar); // attention $res peut contenir la valeur de return dans l'eval
 
    if ($err)
        throw new EvalErrorException($foobar);
}
catch (EvalErrorException $e) {
    // une erreur s'est produite dans l'eval
}
catch (Exception $e) {
    // une exception s'est produite dans l'eval
}
 
restore_error_handler();

[sabotage]

D'après la doc il n'est pas possible d'attraper les erreurs mais j'ai peut être mal compris la réference.

[Benjamin Delespierre]

Pourtant ça marche:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php
 
ini_set('error_reporting', -1);
ini_set('display_errors', 1);
ini_set('html_errors', 0);
 
$php = <<< EOPHP
 
trigger_error('foobar', E_USER_WARNING);
 
return true;
 
EOPHP;
 
set_error_handler(function () use (& $errors) { $errors[] = func_get_args(); });
 
// aucune erreur ne s'affiche...
$result = eval($php);
 
restore_error_handler();
 
var_dump( $result, count($errors) ); // true, int(1)

Enjoy

[yannprada]

Hey !

J'ai finalement résolu mon soucis en utilisant ceci (merci encore) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
if(eval($expr) === false)
	return false;

Il ne me renvoie pas d'erreur et fait exactement ce que je voulais.

Quand au pourquoi de l'utilisation de eval, et bien disons que transformer un fonction booléenne "humaine" en fonction booléenne utilisable par php, puis l'exécuter avec eval, c'est ce que j'ai trouvé de plus pratique...

Merci encore pour votre aide !

[Benjamin Delespierre]

???

J'espère que c'est pas public au moins...

[yannprada]

Vous voulez dire que c'est dangereux d'utiliser eval sur du code entré par l'utilisateur ?

Sachant que j'ajoute un $ devant chaque lettre, que je remplace les . par des && et les + par des ||, et que je prévois d'utiliser htmlentities, je vois pas trop comment ça peut être risqué...

Après je suis débutant en php, donc je peux me tromper.

[Benjamin Delespierre]

Vous voulez dire que c'est dangereux d'utiliser eval sur du code entré par l'utilisateur ?

Noooooon, penses-tu.

Sachant que j'ajoute un $ devant chaque lettre, que je remplace les . par des && et les + par des ||, et que je prévois d'utiliser htmlentities, je vois pas trop comment ça peut être risqué...

htmlentities ça résoud pas tous les problèmes. Quelqu'un de malin aura vite compris ton encodage et ne manquera pas de l'exploiter.

A noter; il ne faut qu'une ligne de code pour créer une backdoor dans une appli PHP, tu devrais y réfléchir

[Bovino]

Vous voulez dire que c'est dangereux d'utiliser eval sur du code entré par l'utilisateur ?

Non, mais il faut prévoir une case à cocher certifiant que l'utilisateur est gentil :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<label><input type="checkbox" name="je_suis_gentil" value="oui" /> En cochant cette case, je certifie être gentil et ne pas poster de code méchant.</label>

[yannprada]

J'ai bien aimé le coup de la checkbox ^^

Certes maintenant je suis convaincu... cependant en attendant mieux, et étant donné que ce n'est pas encore public (pas référencé du moins), ça restera comme ça.

L'idée, plus tard, quand je voudrais vraiment le rendre accessible et sécurisé, ce serait donc d'éviter d'utiliser eval (ce qui me fait passer par un arbre pour extraire les variables, opérations binaires, et tenir compte des parenthèses).

Mais encore ? Il doit exister des techniques pour rendre le code inoffensif non ? Détecter la présence d'éléments susceptibles de créer une faille (balises php, instructions, ...).

Je suis sûr qu'il existe des réponses sur le web, mais vous semblez assez experts, et vous avez un humour assez décapant ^^

PS : Je ne pense pas l'avoir dit explicitement mais la partie du site qui concerne ce sujet sert à entrer une fonction booléenne, qui est par la suite passée par la table de vérité, la table de Karnaugh et simplifiée.

[Benjamin Delespierre]

Personnellement, si je devais fournir la possibilité à mes utilisateurs de scripter quelque chose coté serveur, j'utiliserai du JavaScript avec v8js