php code in Artikelbeschreibung - möglich?

[cybermailer]

Ich muss bei einem Produkt Daten vom Kunden abfragen und möchte separat mittels html und php script direkt in der Artikelbeschreibung Daten vom Kunden annehmen und Variablen damit befühlen.

Ist das möglich? Habe einen kurzen Test mittels

Code: PHP  [Auswählen]

{php}
$checkstatus = true;
if($checkstatus==true){
echo "1";
}
{/php}

versucht auch mit <> spitzen anstatt {} aber der Code wir als Klartext interpretiert...

Geht das überhaupt oder muss ich mich direkt in die product_info.html setzen?

Linkback: https://www.modified-shop.org/forum/index.php?topic=31943.0

[Matt]

Guckst du hier: http://www.modified-shop.org/forum/index.php?topic=31676.0

[Bonsai]

ACHTUNG!

Wenn der Kunde Daten mit der Hand eingibt, und Du verwendest eval, dann wird es sicherheitstechnisch kritisch!!! Der Kunde kann dann x-beliebigen Code eingeben und kann somit Zugriff auf Die Datenbank und das Dateisystem erhalten!!! Also wenn Du was von Kunden abfragen willst, das der Kunde irgendwie eingibt, dann MUSST Du sicherstellen, dass der Kunde keinen Code reinwursteln kann!

[Matt]

Ich hatte ja im anderen Thread auch schon geschrieben, dass ich eval() prinzipiell für böse halte, aber wo genau kann der Kunde in der Artikelbeschreibung was eingeben?

[Bonsai]

Wenn Du den ersten Post liest, da ist eine $checkstatus Variable als Beispiel. Und da stellt sich mir die Frage, woher kommen die Daten dafür? Wenn das von einem Freitextfeld kommt, das der Kunde füllt, oder von einem Formular das mit POST arbeitet, wird es gefährlich.

[Matt]

Gut, das war jetzt sein Testszenario. Dem habe ich ehrlich gesagt nicht wirklich viel Aufmerksamkeit geschenkt.