Ciao a tutti, domanda da..
all mio file .php definisco delle variabili ed il relativo valore... ($var1="ciao"; ecc...)
successivamente, recupero dal campo di una tabella il nome stesso della variabile che devo stampare.. e dopo la query e il fetch ho qualcosa così:
io invece dovrei ottenerecodice:print"$row[variabile]"; //stampa $var1
chi mi aiuta ?codice:print"$row[variabile]"; //stampa ciao
aquatimer2000
${$row[variabile]}, ecco la documentazione: http://php.net/manual/en/language.va...s.variable.php
Originariamente inviata da .Kurt
non funziona, se utilizzo, come da te indicato:
invece dovrebbe stampare:codice:$var="ciao"; // ... query .. e $row=mysql_fetch_array($res); print"$row[variabile] : ${$row[variabile]} ,$var"; // stampa $var : ,ciao
codice://$var: ciao,ciao
Ultima modifica di aquatimer2000; 31-12-2015 a 10:38
aquatimer2000
ulteriore informazione, in effetti sono stato poco chiaro:
nella mia tabella, il valore contenuto nel campo "variabile" è: $var (così come scritto .. dollarovar), di conseguenza se stampo $row[variabile] ottengo:
invece dovrei stampare il valore assegnato a $var precedentemente;codice:print"$row[variabile]"; //mi stampa $var
spero di essere stato un po' più chiaro
Ultima modifica di aquatimer2000; 31-12-2015 a 12:32
aquatimer2000
Allora devi usare evalnella mia tabella, il valore contenuto nel campo "variabile" è: $var (così come scritto .. dollarovar)
ma... non farlo. Se ti trovi ad usare eval è perché stai facendo qualcosa che potresti fare diversamente. Qual'è il problema che stai cercando di risolvere?codice:eval("echo ".$row['variabile'].";");
ho del codice php salvato in una tabella, e nel caso di variabili, non devo stampare $var ma il valore settato precedentemente nello script php
aquatimer2000
così sono più chiaro
codice://setto la mia variabile $var $var = $_POST['valore_postato']; //ho postato ciao /* campi della mia tabella: tipo_input - name - variabile la prima riga ha valori: text - nome_input - ciao query .. poi mysql_fetch_array.. */ print"<input type=\"$row[tipo_input]\" name=\"$row[name]\" value=\"$row[variabile]\" />"; /* vorrei avere questo html: <input type"text" name="nome_input" value="ciao" /> */
Ultima modifica di aquatimer2000; 31-12-2015 a 13:13
aquatimer2000
Questa è il problema che ti sei dato. Iniziamo a fare qualche considerazione sull'utilizzo di eval: eseguire il codice php che c'è nella tua tabella non è il massimo. Se l'utente ha la possibilità di inserire il proprio form, potrà eseguire arbitrariamente del codice. Ed è qualcosa di disastroso. E prima che tu dica "non è il mio caso, solo io posso aggiungere form", ti rispondo subito: non ha importanza. Magari tu non vorresti, ma per 1000 diverse ragioni (un bug nel login del pannello amministrativo, una sql injection, csrf, problemi con la configurazione di xyz, etc.) l'utente potrebbe inserire il proprio form con allegato codice php, e se succede quello che era un "problemino da poco" si trasforma in qualcosa di più grave. Inoltre è difficile da leggere, complicato da riusare altrove, e rende il debug più complesso di quanto non dovrebbe.ho del codice php salvato in una tabella, e nel caso di variabili, non devo stampare $var ma il valore settato precedentemente nello script php
TL;DR: Non usare eval.
Ora che ti ho spiegato i motivi per cui non dovresti farlo, possiamo iniziare a pensare a soluzioni alternative. Le prima potrebbe essere quella dei placeholder:
In questo caso puoi anche evitare di usare $var nella stringa, ma, ad esempio, chiamarla {{var}}codice:$row['variabile'] = '<input type="text" name="variabile" value="$var"></input>'; $var = $_POST['valore_postato']; $data = array( '$var' => $var ); echo strtr($row['variabile'], $data);
cosìcodice:$row['variabile'] = '<input type="text" name="variabile" value="{{var}}">';
Se c'è altro di cui tenere conto, scrivilo e penseremo alle appropriate soluzioni. Ma prima di farlo, scrivi cosa hai provato.codice:$data = array( '{{var}}' => $_POST['valore_postato']; ); echo strtr($row['variabile'], $data);
Ultima modifica di .Kurt; 31-12-2015 a 13:14
perfetto, in effetti non avevo pensato a questa serie di problemi.
comunque la soluzione che segue mi va bene:
in questo caso, sono un po' più "al sicuro" ?!In questo caso puoi anche evitare di usare $var nella stringa, ma, ad esempio, chiamarla {{var}}
codice:
$row['variabile']='<input type="text" name="variabile" value="{{var}}">';
così
codice:
$data = array(
'{{var}}'=> $_POST['valore_postato'];
);
echo strtr($row['variabile'], $data);
aquatimer2000
Dall'esecuzione di codice, si. Da xss no. Usa http://php.net/manual/it/function.htmlspecialchars.php su $_POST['valore_postato'];.in questo caso, sono un po' più "al sicuro" ?!
Se ti servono soluzioni a problemi più avanzati ricordati che puoi utilizzare template engine come twig: http://twig.sensiolabs.org/
Permessi di invio
Rispondi quotando