В codeignite3 для файла Loader.php eval () используется следующим образом:
echo eval('?>'.preg_replace('/;*\s*\?>/', '; ?>', str_replace('<?=', '<?php echo ', file_get_contents($_ci_path))));
Этот вызов eval () содержит ненадежный ввод. Если злоумышленник может изменить эти входные данные, на сервере может быть выполнен произвольный код PHP. Первый аргумент phpeval () содержит данные из входящего HTTP-запроса. Данные из входящего HTTP-запроса получены из более раннего вызова file_get_contents.
Разве мы не можем использовать Eval и использовать какой-либо другой мэнханнизм ???