eval

(PHP 4, PHP 5, PHP 7, PHP 8)

evalAvalia uma string como código PHP

Descrição

eval(string $code): mixed

Avalia a string fornecida no parâmetro code como um código PHP.

O código a ser avaliado herda o escopo de variáveis da linha na qual a chamada a eval() ocorrer. Todas as variáveis disponíveis naquela linha estarão disponíveis para leitura e modificação no código avaliado. Entretanto, todas as funções e classes definidas serão definidas no espaço de nomes global. Em outras palavras, o compilador considera o código avaliado como se ele fosse um arquivo incluído separadamente.

Cuidado

A construção de linguagem eval() é bastante perigosa porque permite execução de código PHP arbitrário. Seu uso é contudo desencorajado. Se foi cuidadosamente verificado que não há outra opção a não ser usar esta construção, deve-se prestar atenção especial para não passar nenhum dado fornecido pelo usuário no parâmetro sem antes validá-lo.

Parâmetros

code

Código PHP válido a ser avaliado.

O código não pode ser envolvido em etiquetas PHP de abertura e de fechamento, isto é, 'echo "Hi!";' deve ser passado ao invés de '<?php echo "Hi!"; ?>'. Ainda é possível sair e re-entrar no modo PGP usando-se os marcadores apropriados, ex.: 'echo "In PHP mode!"; ?>In HTML mode!<?php echo "Back in PHP mode!";'.

Além disso, o código informado deve ser código PHP válido. Isto inclui o fato de que todas as instruções devem ser adequadamente terminadas com ponto-e-vírgula. 'echo "Hi!"' por exemplo causará um erro de avaliação, enquanto que 'echo "Hi!";' funcionará.

Uma instrução return irá terminar imediatamente a avaliação do código.

o código será executado no escopo do código que está chamando eval(). Todas as variáveis definidas ou alteradas na chamada a eval() permanecerão visíveis depois que ela terminar.

Valor Retornado

eval() retorna null a menos que return seja chamado no código avaliado, neste caso o valor passado a return será o retornado. A partir do PHP 7, se houver um erro de avaliação no código, eval() lança uma exceção ParseError. Antes do PHP 7, neste caso eval() retornava false e a execução do código seguinte continuava normalmente. Não é possível capturar um erro de avaliação em eval() usando set_error_handler().

Exemplos

Exemplo #1 Exemplo de eval() example - fusão simples de texto

<?php
$string
= 'cup';
$name = 'coffee';
$str = 'This is a $string with my $name in it.';
echo
$str. "\n";
eval(
"\$str = \"$str\";");
echo
$str. "\n";
?>

O exemplo acima produzirá:

This is a $string with my $name in it.
This is a cup with my coffee in it.

Notas

Nota: Como esta é uma construção da linguagem e não uma função, ela não pode ser chamada usando funções variáveis ou argumentos nomeados.

Dica

Assim como qualquer coisa que envia seu resultado diretamente para o navegador, as funções de controle de saída podem ser usadas para capturar a saída desta função e salvá-la em uma string, por exemplo.

Nota:

Em caso de erro fatal no código avaliado, todo o script é terminado.

Veja Também

  • call_user_func() - Chama a função de retorno informada no primeiro parâmetro

add a note

User Contributed Notes 7 notes

up
474
Anonymous
20 years ago
Kepp the following Quote in mind:

If eval() is the answer, you're almost certainly asking the
wrong question. -- Rasmus Lerdorf, BDFL of PHP
up
43
lord dot dracon at gmail dot com
9 years ago
Inception with eval()

<pre>
Inception Start:
<?php
eval("echo 'Inception lvl 1...\n'; eval('echo \"Inception lvl 2...\n\"; eval(\"echo \'Inception lvl 3...\n\'; eval(\'echo \\\"Limbo!\\\";\');\");');");
?>
up
21
Jeremie LEGRAND
7 years ago
At least in PHP 7.1+, eval() terminates the script if the evaluated code generate a fatal error. For example:
<?php
@eval('$content = (100 - );');
?>

(Even if it is in the man, I'm note sure it acted like this in 5.6, but whatever)
To catch it, I had to do:
<?php
try {
eval(
'$content = (100 - );');
} catch (
Throwable $t) {
$content = null;
}
?>

This is the only way I found to catch the error and hide the fact there was one.
up
27
bohwaz
12 years ago
If you want to allow math input and make sure that the input is proper mathematics and not some hacking code, you can try this:

<?php

$test
= '2+3*pi';

// Remove whitespaces
$test = preg_replace('/\s+/', '', $test);

$number = '(?:\d+(?:[,.]\d+)?|pi|π)'; // What is a number
$functions = '(?:sinh?|cosh?|tanh?|abs|acosh?|asinh?|atanh?|exp|log10|deg2rad|rad2deg|sqrt|ceil|floor|round)'; // Allowed PHP functions
$operators = '[+\/*\^%-]'; // Allowed math operators
$regexp = '/^(('.$number.'|'.$functions.'\s*\((?1)+\)|\((?1)+\))(?:'.$operators.'(?2))?)+$/'; // Final regexp, heavily using recursive patterns

if (preg_match($regexp, $q))
{
$test = preg_replace('!pi|π!', 'pi()', $test); // Replace pi with pi function
eval('$result = '.$test.';');
}
else
{
$result = false;
}

?>

I can't guarantee you absolutely that this will block every possible malicious code nor that it will block malformed code, but that's better than the matheval function below which will allow malformed code like '2+2+' which will throw an error.
up
8
catgirl at charuru dot moe
6 years ago
It should be noted that imported namespaces are not available in eval.
up
5
divinity76 at gmail dot com
7 years ago
imo, this is a better eval replacement:

<?php
function betterEval($code) {
$tmp = tmpfile ();
$tmpf = stream_get_meta_data ( $tmp );
$tmpf = $tmpf ['uri'];
fwrite ( $tmp, $code );
$ret = include ($tmpf);
fclose ( $tmp );
return
$ret;
}
?>

- why? betterEval follows normal php opening and closing tag conventions, there's no need to strip `<?php?>` from the source. and it always throws a ParseError if there was a parse error, instead of returning false (note: this was fixed for normal eval() in php 7.0). - and there's also something about exception backtraces
up
6
darkhogg (foo) gmail (bar) com
14 years ago
The following code

<?php
eval( '?> foo <?php' );
?>

does not throw any error, but prints the opening tag.
Adding a space after the open tag fixes it:

<?php
eval( '?> foo <?php ' );
?>
To Top