Discussion :

[ideal]

bonjour

Ma question est sans doute simple en fait j'ai un champs codeHtml qui doit contenir des blocs php genre

blblblblbl <?php echo dsas; ?> blblblblblb


Le champs codehtml est un text ds la base de donnee. Lorsque je fais echo $codehtml j'aimerais que le php soit interprete, or la il est juste affiche comme du texte.

Merci a tous.

[Eusebius]

eval

Attention, l'exécution de code dynamique est une source de failles de sécurités très importante.

[ideal]

merci je viens de voir l'exemple de la fonction, ca a l'air d'etre ce que je voulqis, mais pourquoi me parles tu de problemes de securites ?

Merci encore mais la fin m'inquiete

[Eusebius]

merci je viens de voir l'exemple de la fonction, ca a l'air d'etre ce que je voulqis, mais pourquoi me parles tu de problemes de securites ?

Merci encore mais la fin m'inquiete

Parce que tu exécutes un code qui pourrait potentiellement être n'importe quoi et causer des dommages sur ton serveur, ou ton application.

[ideal]

ok le code en question ne peut etre rajoute que par moi meme l'administrateur, donc niveau securite c'est ok non ?.

Le champs codeHtml doit en fait contenir des templates, des mises en forme differentes... et je me suis dit que ce serait simple de mettre tout le bloc html/php dans un champs, ainsi je peux proposer des mises en formes completement differente.


Edit: j'ai teste la methode mais ca ne fais pas ce que j'ai envie...

Voici ce que peut contenir le champs codeHtml

<?php

$sqlInfoSite = " select * from site where idSite=4";//replace by nomSite=$_GET['nomSite']
$reqInfoSite = mysql_query($sqlInfoSite) or die ('Erreur SQL:'.$sqlInfoSite.'<br>'.mysql_error());
$infoSite = mysql_fetch_assoc($reqInfoSite);

if (isset($_GET["page"])) $sqlInfoPage = " select * from page where idPage=".$_GET["page"];
else $sqlInfoPage = " select * from page where idPage=".$infoSite['idPageHome'];
$reqInfoPage = mysql_query($sqlInfoPage) or die ('Erreur SQL:'.$sqlInfoPage.'<br>'.mysql_error());
$infoPage = mysql_fetch_assoc($reqInfoPage);

?>
<html>
<head>
<title><?php echo $infoSite["nomSite"] ?> : <?php echo $infoPage["titrePage"] ?></title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>

<body bgcolor="#6666FF" text="#000000" style="margin:0;">
<table width="80%" border="0" cellspacing="0" cellpadding="5" align="center">
<tr>
<td bgcolor="#FFFFFF"><b><a href="./index.html"><?php echo $infoSite["nomSite"] ?></a></b></td>
</tr>
<tr>
<td bgcolor="#FFCC66">
<?php echo $infoSite["menuSite"] ?>
</td>
</tr>
<tr>
<td bgcolor="#FFFFFF">
<?php echo $infoPage["contenuPage"] ?>
</td>
</tr>
</table>
</body>
</html>

et lorsque je fais un echo $codeHtml, j'aimerai que les blocs php soient interprete


Edit 2;

J'ai allege le champs code html il contient desormais ceci, il n'y a plus de bloc php mais seulement les variables.

<html>
<head>
<title>$infoSite["nomSite"] : $infoPage["titrePage"] </title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>

<body bgcolor="#6666FF" text="#000000" style="margin:0;">
<table width="80%" border="0" cellspacing="0" cellpadding="5" align="center">
<tr>
<td bgcolor="#FFFFFF"><b><a href="./index.html">$infoSite["nomSite"]</a></b></td>
</tr>

<tr>
<td bgcolor="#FFCC66">
$infoSite["menuSite"]
</td>
</tr>
<tr>
<td bgcolor="#FFFFFF">
$infoPage["contenuPage"]
</td>
</tr>
</table>

</body>
</html>

Et voici ce que contient mon fichier Php:

<?php

require_once('../config.php');

$sqlInfoSite = " select * from site where idSite=4";
$reqInfoSite = mysql_query($sqlInfoSite) or die ('Erreur SQL:'.$sqlInfoSite.'<br>'.mysql_error());
$infoSite = mysql_fetch_assoc($reqInfoSite);

if (isset($_GET["page"])) $sqlInfoPage = " select * from page where idPage=".$_GET["page"];
else $sqlInfoPage = " select * from page where idPage=".$infoSite['idPageHome'];
$reqInfoPage = mysql_query($sqlInfoPage) or die ('Erreur SQL:'.$sqlInfoPage.'<br>'.mysql_error());
$infoPage = mysql_fetch_assoc($reqInfoPage);


$sqlInfoTheme = " select * from theme where idTheme=".$_GET['num'];//replace by nomSite=$_GET['nomSite']
$reqInfoTheme = mysql_query($sqlInfoTheme) or die ('Erreur SQL:'.$sqlInfoTheme.'<br>'.mysql_error());
$infoTheme = mysql_fetch_assoc($reqInfoTheme);

$code = $infoTheme['codeHtml'];
//echo $code;

eval( "\$code = \"$code\";" );

echo $code;
?>

Mais j'obtiens cette erreur:

Parse error: parse error, expecting `T_STRING' or `T_VARIABLE' or `T_NUM_STRING' in c:\program files\easyphp1-8\www\estis\membre\testtheme.php(22) : eval()'d code on line 4

Merci pour votre aide

[Eusebius]

ok le code en question ne peut etre rajoute que par moi meme l'administrateur, donc niveau securite c'est ok non ?

Non, mais c'est ton appli donc tu fais ce que tu veux.
La question a déjà été débattue plusieurs fois sur le forum, et j'ai pas le temps de développer, navré.

[FluidBlow]

ok le code en question ne peut etre rajoute que par moi meme l'administrateur, donc niveau securite c'est ok non ?.

Le champs codeHtml doit en fait contenir des templates, des mises en forme differentes... et je me suis dit que ce serait simple de mettre tout le bloc html/php dans un champs, ainsi je peux proposer des mises en formes completement differente.


Edit: j'ai teste la methode mais ca ne fais pas ce que j'ai envie...

Voici ce que peut contenir le champs codeHtml



et lorsque je fais un echo $codeHtml, j'aimerai que les blocs php soient interprete


Edit 2;

J'ai allege le champs code html il contient desormais ceci, il n'y a plus de bloc php mais seulement les variables.



Et voici ce que contient mon fichier Php:



Mais j'obtiens cette erreur:


Merci pour votre aide

Bonjour,

Peux tu nous dire à quel ligne correspond la "ligne 4" stp ?

Cordialement,
FluidBlow.

[yjuliet]

- le fait que le $codeHtml contienne du HTML mélangé au PHP ne peut-il pas poser des problèmes au compilateur qui attend du code PHP ?

- sinon, as-tu essayé une solution plus simple du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
...
$code = $infoTheme['codeHtml'];
eval( $code );
...

sinon, je crains que les appels de fonctions ne soient jamais effectués.

Par contre, je rejoins Eusebius sur le DANGER REEL d'une telle solution.
Il serait beaucoup plus sain d'utiliser des patterns XML qui pourraient être mappés sur des fonctions PHP faisant la même chose, mais de manière moins dangereuse.