# Kohana forumunda bir akıllı adam Expression Engine şablonlar için () eval kullanır çünkü olduğunu ileri sürdü. Birisi bir dize PHP gömmek olsaydı d 've idam () o eval olurdu mümkündür. Kohana şablonlar için eval () kullanımı olmadığından bu sadece Codeigniter günden arta kalan mümkündür.

Bu, örneğin, uygulama bir dosyaya girdi yazar veya eval() geçirir, eğer kullanıcı girişi herhangi bir PHP kodu yürütülmez sağlar. Yoksa sadece tarayıcı göstermek için bazı PHP kodu yazmak istiyorum.

Uygulama izin veriyorsa kullanıcı girişi çeşit bir dosya olarak yazılacak. Daha sonra sunucu idam olabilir PHP kodu girmesini kullanıcı engellemelidir.

encode_php_tags() bunu engeller.

kullanım noktası web kullanıcıların formları php kodları yazmak için değil, açıktır. Eğer CI veya Kohana için sağlanan önleme yöntemleri diğer XSS kullanıyorsanız, bu kullanmak için hiçbir zorunluluk yoktur.

Neden sana söyleyemedim güvenlikle ilgili bir fonksiyonu olarak bu listede ettik, ama bu hemen hemen sadece değiştirir < ve> onların kodlanmış formları ile PHP etiketleri, böylece ayrıştırılması etiketleri arasında gerçek PHP kodu izin vermeme. Tamamen görsel bir şey, ama orada o var ...