Ben bu komut dosyası var

<?php $number = %value%; ?>

% Değeri% belirteç bir kullanıcı tarafından bir DB girişi üzerinde bir değerle değiştirilir.

Benim endişe birisi gibi bir şey girişler olduğunu:

1; echo phpinfo()

Replace sonucu olacaktır:

<?php $number = 1; echo phpinfo(); ?>

Bu tabii bir güvenlik riski oluşturuyor.

Php betik karakter veya kullanabileceğim bir şey kaçmak için bir işlevi var mı?

Şimdiden teşekkürler.

Context

Bu genellikle araçları bazı PHP dosyasına eklenen HTML kodu oluşturmak, üzerinde çalışıyorum bir CMS üzerinde bir araçtır.

Bu durumda bu aracı bir RSS kanalından bir HTML yapısını oluşturur. Biz girişine RSS URL kullanıcı sormak ve göstermek için yemlerin sayısı, biz PHP komut dosyası içine bu değerleri değiştirmek ve beslemeleri almak ve bir HTML yapısına onları görüntülemek için kullanabilirsiniz.

gibi bu:

<?php
  $url = "URL"; //comes from DB
  $number = N; //comes from DB
  $feeds = getFeeds($url, $number);
  ...
?>