Я видел это несколько раз в нескольких местах, но так и не нашел удовлетворительного объяснения, почему это должно быть так.
Итак, надеюсь, здесь будет представлен. Почему мы должны (по крайней мере, вообще) не использовать exec()
и eval()
?
EDIT: Я вижу, что люди предполагают, что этот вопрос относится к веб-серверам - это не так. Я могу понять, почему несанкционированная строка, передаваемая в exec
, может быть плохим. Это плохо в не-веб-приложениях?