3

我之前已经提出了一个关于尝试使用数组索引作为变量名的主题,并在这里收到了一个让我感兴趣的答案。

建议使用 eval() 的答案之一,尽管由于其潜在的安全问题而没有推荐它。

$string = 'welcome["hello"]';
eval('$' . $string . " = 'thisworks';");

// This also works : eval("$$string = 'thisworks';");

// I could then print the array keys value like this
print( $welcome["hello"] ); // Prints 'thisworks'

但是,此解决方案是最简单的,并且可能最适合我想要实现的目标。我实际上正在开发一个 Wordpress 管理面板,里面充满了用户可以设置的各种选项。每个选项都通过包含多维数组的变量设置,如下所示(仅更大):

$options = array(
 array(
  'id' => 'option_id', // The name of the input field
  'type' => 'text', // Input type
  'value' => 'some value here' // Input value
 )
);

当用户保存选项时,会触发一个函数,从所有不同的输入值中创建一个数组并将它们保存到数据库中。如下所示,虽然高度精简:

foreach ( $options as $o ) {
 if ( isset( $_POST[ $o[ 'id' ] ] ) ) {
  $settings[ $o[ 'id' ] ] = $_POST[ $o[ 'id' ] ];
 }
}

多维选项变量中的一些选项将保存为数组的一部分,而不是字符串。这些选项的 ID 中包含方括号,例如 'option_id[value1]'。

这就是事情变得复杂的地方。目前,我必须通过一个检查方括号 [] 的函数发送 ID,然后告诉保存函数如何正确处理它(另存为数组或字符串)。

这就是为什么 eval 解决方案是理想的。它允许我创建一个已经是数组并包含索引的变量,而无需使用其他函数来剖析 ID。它严重减少了冗长的过程,或者我相信。

因此,从本质上讲,是否有一种更安全、类似的方法可以使用 eval 或使用替代功能。以上述方式使用 eval 有什么危险?可以在上面使用的上下文中执行恶意代码吗?在 $ 之前执行代码肯定会导致 PHP 错误吗?

4

1 回答 1

3

以这种方式使用 eval 对我来说似乎是一种 hack,而且不太可能是高性能的。为什么不使用可变变量来实现同样的事情呢?

$string = 'welcome';
$key = "hello";

${$string}[$key] = "this works better";
print( $welcome["hello"] ); // Prints 'this works better'
于 2012-05-13T16:20:30.770 回答