PHP 7.2 eval()函數: 可以帶來方便，同時也有潛在的風險

PHP 7.2的eval()函數是一種非常方便的工具，可以讓我們在編寫php代碼時更加靈活。通過使用eval()函數，我們可以在運行時動態地執行php代碼字符串，從而可以在不編寫新文件的情況下快捷的實現許多操作。然而，使用eval()函數也有必須認識的風險，因為它允許用戶向PHP傳遞的字符串中包含任意的php代碼，從而潛在地導致安全問題。

以下是eval()功能的一個示例。由于eval()函數可以執行任意代碼，下面的腳本代碼將會執行傳遞給eval()函數的任意字符串。 實際線上使用時，僅建議在特殊情況下使用eval()函數，避免出現代碼注入等安全問題。

$myVar = 'Hello World!';
eval('$myOtherVar = "' . $myVar . ' - and that\'s my other var.";');
echo $myOtherVar;
# 輸出：Hello World! - and that's my other var.

雖然eval()函數在某些情況下很方便，但是也存在許多注意事項。很多攻擊向量利用eval()函數，向字符串參數中注入惡意代碼從而實現代碼執行，這種攻擊方式被稱為代碼注入攻擊（Code Injection Attack）。下面是一個給出了含有注入攻擊的示例，并造成了系統安全漏洞的例子。

$code = $_GET['code'];
eval($code); // 會執行任意用戶傳入的$_GET['code']。

為了防止代碼注入攻擊襲擊，應該盡可能避免使用eval()函數。如果有必須使用的情況，也應該盡可能避免使用由用戶提供的字符串作為參數。如果使用用戶提供的字符串，應該先驗證或過濾并確保沒有可疑的代碼。

總的來說，eval()函數雖然有其便利性，但同時也帶來了安全風險。在絕大多數情況下避免使用eval函數是最佳實踐。如果確實需要使用，最好限制用戶提供的字符串，并對這些字符串進行過濾或驗證，以降低注入風險。