Witam wszystkich!
Mam następujący problemik:
W bazie mySQL mam pole typu longtexta w nim kawalek kodu HTML.
w ten kod musze wrzucić kilka zmiennych np. $img_dir.

W skrypcie php wybieram dane z ww. pola i w efekcie dostaje prawidłowy kod HTML i wpis $img_dir zamiast zawartości tej zmiennej.
Nadmienię, że skrypt pobierający kod z bazy jest includowany do strony głównej, ale zgodnie z zapisem w manualu zmienna w bazie jest objęta prawidłowymi znacznikami php.

Dlaczego więc taka zawartość w bazie:

w efekcie koncowym produkuje coś takiego:

i nie podstawia nazwy katalogu pod zmienna $img_dir?

Pozdrawiam

Olek

z uwagi na to, ze php traktuje to jako zwykły string, i nie wie, że ty chciałbyś jeszcze coś z nim zrobić.
Jednak jest na to sposób - zapoznaj sie z Eval()

EVAL() kodu z bazy?
__
Hmm.. szef mnie zagadał - byłbym szybszy

Przyda ci sie funkcja eval. Ale uzywaj jej ostroznie bo moze zostac latwo wykorzystana przez |-|/K3r0//

Uzywajac tej funkcji musisz zwrocic uwage na aspekt bezpieczenstwa...
Jezeli masz register global on to na poczatku skryptu wykorzystujacego eval() musisz poczyscic wszelkie wartoscie zmiennych (przesylanych przez uzytkownika) o tej samej nazwie co zmienna wewnatrz funkcji eval
W przeciwnym wypadku narazony jestes na ataki hackerow!
Scenariusz takiego ataku jest dosc prosty...
Najpierw agresor przeprowadza atak DoS na demona SQL po czym wywoluje skrypt php o odpowiednio spreparowanym adresie (http:serwer.atakowany?skrypt.php?zmienna_eval=kod_PHP_agresora)
Mozna oczywiscie dane wyslac POST lub umiescic w cookiesach!
BADZ OSTROZNY!
No chyba ze bezpieczenstwo serwera nie obchodzi Cie... wtedy podaj adres strony na ktorej to wykorzystujesz

POZDRAWIAM

zawartość z bazy najprościej zapisać do jakiegoś znanego pliku, a potem zwyczajnie go includować.... i wtedy zadziałają znaczniki <? i ?>

a ja uwazam, ze na ataki hackerow narazonym sie jest zawsze.
jedynie mozesz im dac roznej wielkosci 'orzechy'

pozdrawiam,