JoomlaはPHPをevalでなく直接実行できる


CMSのJoomla!を使う機会があったので紹介です。

WordPressなどでは、、投稿や記事の中でPHPを実行するプラグインや拡張機能では通常evalコマンドでPHPが実行されます。

そんななか、JoomlaのJumiというエクステンションではPHPはまさにその記事のその部分でPHPが記述されるようで、Joomlaで使用されているセッションや変数をそのまま使用することができます。当然危険性も増えますが、便利な点も多くあります。

ちなみにevalはPHPのマニュアルで次のように警告されています。

eval() は非常に危険な言語構造です。 というのも、任意の PHP コードを実行できてしまうからです。 これを使うことはおすすめしません。

記事の編集の権限が不特定な場合は、このような機能は無効にすべきだと思いますので、くれぐれもご注意下さい。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

SPAM防止のため数字と漢数字の算数の計算をお願いします。 * Time limit is exhausted. Please reload CAPTCHA.