PHP eval函數是一個用于計算數學表達式或執行字符串指令的函數，非常常見。但是，如果eval函數被黑客利用，那么PHP應用程序會變得非常脆弱，并且完全暴露給攻擊者。

在實際應用程序中，例如某個電商站點，它可能存儲和處理用戶輸入的數據。如果代碼沒有認真進行輸入驗證，那么攻擊者可能在輸入框中插入PHP代碼，并將其透過eval函數在服務器上執行。例如，攻擊者可能會通過以下方式注入惡意代碼：

$userId = $_POST['userId'];
$eval = 'echo "Welcome back, " . getUsername($userId);';
eval($eval);

在上面的代碼中，$userId是從用戶輸入中獲取的。然而，如果攻擊者給出一個惡意的輸入$userId，例如"1; phpinfo();"，那么代碼將變得如下：

$userId = "1; phpinfo();";
$eval = 'echo "Welcome back, " . getUsername($userId);';
eval($eval);

當eval函數執行時，它將執行提供的惡意字符串中的phpinfo()函數，并在網站上公開服務器信息。

除了直接注入PHP語法的例子，eval函數還可被用于通過動態構建字符串生成網絡請求，包括執行Shell命令和打開遠程服務器連接端口等遠程代碼執行漏洞。

那么我們如何保護我們的代碼以避免eval的滲透呢？

第一步當然是進行輸入驗證。任何通過用戶輸入生成的代碼都必須經過驗證，以確保代碼不會從外部注入。例如，通過使用preg_match()函數驗證文本是否有效。

if (preg_match("/^[a-zA-Z0-9]+$/", $_POST['code'])) {
echo $_POST['code'] . " is valid code!";
} else {
echo $_POST['code'] . " is invalid code!";
}

與此同時，eval函數必須避免使用，因為eval函數的每次執行都會為服務器帶來一個潛在的安全問題。如果eval無法避免，則必須確保動態生成的字符串不包含任何外部注入的代碼。例如：

$code = sanitizeCode($_POST['code']);
if (strpos($code, 'eval') !== false) {
echo "eval function can't be used here!";
} else {
echo $code;
}

此示例檢查輸入內容以確保其中沒有eval關鍵字。如果存在，eval函數將被禁止使用。其他標識符也應該被核實，以確保沒有其他容易被操縱的危險函數被注入。

總之，當使用PHP eval函數時，務必進行輸入驗證，確保代碼沒有受到外部注入，同時避免使用它，盡可能地使用原生的PHP函數。以上基本保證了PHP應用程序的安全運行。