我了解eval(json_str)在客户端上使用容易受到恶意代码的攻击。我的问题是,如果json_str数组是由PHP函数构造的json_encode,那么我会安全吗?
eval(json_str)
json_str
json_encode
例如,
json_str = json_encode(array(record1, record2, record3));
现在eval(json_str)在客户端代码中使用完全安全吗?
是和否:
是:PHP产生有效的JSON
否:PHP可能会像JSON一样返回恶意代码。
如果您可以信任来源,或者甚至可以完全控制它(因为它是您的),那就没有问题了。
