Hi,

Vergiss es :))

Du meinst, Du hast meine Antwort "Noch nicht!" bereits vorhergesehen? :-)

Aber warum?

Weil damit eine (ungefährliche!) Zeichenkette als PHP-Code ausgeführt wird. Ich weiß nicht, wie streng definiert die Quelle der Daten ist (sprich: welche Personen sie liefern können); aber wenn irgendjemand einen Weg findet, selbst definierte Daten in Dein eval() zu lenken, und Du dies nicht erkennst und unterbindest bzw. einschränkst, dann wird _beliebiger_ PHP-Code ausgeführt. Und das kann zu allem führen - beispielsweise zum Versand Deiner Passwortdateien oder zum Löschen der Festplatte.

Genau das passiert übrigens in dem in </?m=60065&t=10847> genannten Fall.

Cheatah