从数据库查询结果运行PHP代码
我完全不知道该怎么做,甚至不知道这是否可能 如果要运行PHP,我希望它能够存储在数据库中的内容 例如,我有一个名为content的表和一个名为body的字段 名为body的字段包含“Testing 123” 当我运行查询时,从数据库查询结果运行PHP代码,php,mysql,sql,Php,Mysql,Sql,我完全不知道该怎么做,甚至不知道这是否可能 如果要运行PHP,我希望它能够存储在数据库中的内容 例如,我有一个名为content的表和一个名为body的字段 名为body的字段包含“Testing 123” 当我运行查询时,mysqli\u query($con,“SELECT*FROM content”)并回显正文,$row[body]页面只会得到“Testing 123”,如果我查看源代码,我就可以实际看到 那么,有没有一种方法可以获取该字段中的内容,并在其中存在PHP时运行它?您可以通过
mysqli\u query($con,“SELECT*FROM content”)$row[body]“Testing 123”那么,有没有一种方法可以获取该字段中的内容,并在其中存在PHP时运行它?您可以通过两种方式执行它:
请注意,来自数据库的数据应被视为用户输入(因为攻击者通常会设法将其有效负载注入其中)。所以你要求的是“小心处理”和“知道你在做什么”领域的东西(这比我们通常认为的要难)。@hakre我经常看到人们提到这样的事情,但我不完全理解。在我的情况下,我将是唯一一个操纵数据库的人。在我的例子中,这仍然是不安全的,因为人们可能会侵入我的数据库,或者是不安全的,因为人们可能会通过表单将不好的东西传递到我的数据库中?我的网站上没有任何允许将内容传递到数据库的页面,因此我不确定在我的情况下是否不安全。那么不太可能,因为没有任何输入通道,但是,数据库也可以通过命令行客户端进行更改,因此实际上可以从与您不同的应用程序进行更改。然而,由于距离较远,通常不太可能。但是,如果应用程序没有正确隔离,这种情况也会发生,因为它也是一种常见的攻击形式(通过(打开的)后门偷袭是非常有效的)。