Accueil🇫🇷Chercher

Eval

Eval est une fonction utilisée en programmation. Elle est présente dans de nombreux langages interprétés et permet d'exécuter une commande à partir d'une chaîne de caractères (ou String) générée par le programme lui-même en cours d'exécution.

Fonctionnement

Voici un exemple en php, ces deux lignes sont absolument Ă©quivalentes :

$c = 1 + $b; echo $c;
eval('$c = 1 + $b; echo $c;');

Une évaluation à travers une chaîne de caractères au cours de l'exécution permet facilement de :

  • Placer du code dans une base de donnĂ©es pour une exĂ©cution ultĂ©rieure
  • Permettre quelques raccourcis d'Ă©criture ou des "astuces" pour simplifier la programmation
  • ExĂ©cuter un fichier extĂ©rieur
  • AccĂ©der dynamiquement Ă  une variable ou une fonction Ă  partir de son nom
  • ProtĂ©ger du code (en dĂ©codant Ă  la volĂ©e le code source protĂ©gĂ©)

Puisqu'un programme utilisant eval ne peut pas être complètement compilé (on peut toujours avoir besoin d'un élément dans un eval, donc nombre d'optimisations habituelles sont très compliquées), ces programmes sont par nature plus lents qu'un programme compilé. Ceci en considérant qu'on utilise eval sans en avoir besoin, car ses raccourcis d'écriture permettent une programmation plus rapide.

MalgrĂ© la puissance de cette fonction et de ses possibilitĂ©s, eval n'est pas très utilisĂ©. Et ceci car son utilisation rend le code plus complexe Ă  comprendre et en partie car cette fonction est considĂ©rĂ©e comme « superflue » et « sale ».

Problème de sécurité en php

Eval est un vrai problème au niveau de la sécurité en php. Surtout pour les programmes qui ont accès à des données confidentielles. Il est fortement conseillé de vérifier au maximum la façon de générer la chaîne qui sera exécutée.

Un exemple d'une attaque par eval en php :

$input = $_POST['action'];
eval($input)
code html

ne permet que "Connexion()" "Deconnexion()" et "Lecture()"

Attaque

créer sa propre page html qui entre une autre valeur comme "HidingAccess()"

Protection

vérifier avant de lancer eval que $input fait partie des valeurs autorisées.


Quelques conseils pour éviter des problèmes avec eval :

  • TOUJOURS vĂ©rifier une valeur entrĂ©e dans eval si elle dĂ©pend d'une donnĂ©e extĂ©rieure
  • Si $input est une valeur parmi une liste de valeurs, vĂ©rifier que $input est bien dedans (cela est valable aussi pour les fonctions include et require en PHP)
  • Ne JAMAIS faire confiance aux entrĂ©es de l'utilisateur (ceci est valable pour toutes les entrĂ©es dans tous les programmes, mais plus particulièrement pour ces cas-lĂ ). L'utilisateur ne se privera pas de mettre votre programme Ă  l'Ă©preuve.
  • Utiliser au maximum des caractères d'Ă©chappement (En PHP, la fonction mysql_escape_string protège les accès aux bases de donnĂ©es, html_entities protège les affichages HTML).
  • Ce n'est pas parce que $input ne prĂ©sente pas de danger pour le programme que vous faites qu'il ne faut pas penser aux autres programmes liĂ©s (le HTML ou base de donnĂ©es liĂ©s souvent Ă  du code PHP)
  • Si vous attendez un chiffre, vĂ©rifiez que c'est un chiffre, si vous attendez un nom, vĂ©rifiez que c'est un nom. Souvent, les langages utilisant eval n'ont pas de variables typĂ©es. Et les is_digit ou is_boolean sont faits pour ces cas-lĂ .
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.