4

我想知道在 PHP 中使用eval()来解析用户填写表单时输入的公式时应该检查哪些内容。我看过很多关于 eval() 的答案,但似乎并非所有人都同意。

这是我收集的内容:

  • 不要对字符串使用 eval(这可能是个问题,因为它我需要解析的公式)
  • 删除来自表单的输入(我不完全确定我需要删除哪些内容)
  • Eval 可能是邪恶的,也可能不是邪恶的,并且存在安全风险(是否有其他方法可以解析字符串中的方程式?)

大家觉得我应该怎么做?

编辑:我尝试了 eval 方法,虽然它确实有效,但我使用的卫生设施不支持两个以上的操作数。由于我真的不想编写自己的(可能不安全的)卫生正则表达式,所以我只想找到并使用预先编写的数学课。感谢大家的建议!

4

3 回答 3

4

在用户输入上使用 EVAL 是让您的服务器受到攻击的好方法。不。

可接受的方法是解析表达式,因此您了解它的每个元素,然后评估您解析的表达式。对于数学表达式,您可能会找到一个可以做到这一点的可信包。

于 2012-06-17T01:30:16.877 回答
3

如果您必须使用eval,其eval文档页面上有一些代码可以让您过滤数学公式。但正如其他人以及 PHP 文档页面所说,eval除非没有其他选择,否则使用它不是一个好主意。

<?php

$test = '2+3*pi';

// Remove whitespaces
$test = preg_replace('/\s+/', '', $test);

$number = '(?:\d+(?:[,.]\d+)?|pi|π)'; // What is a number
$functions = '(?:sinh?|cosh?|tanh?|abs|acosh?|asinh?|atanh?|exp|log10|deg2rad|rad2deg|sqrt|ceil|floor|round)'; // Allowed PHP functions
$operators = '[+\/*\^%-]'; // Allowed math operators
$regexp = '/^(('.$number.'|'.$functions.'\s*\((?1)+\)|\((?1)+\))(?:'.$operators.'(?2))?)+$/'; // Final regexp, heavily using recursive patterns

if (preg_match($regexp, $q))
{
    $test = preg_replace('!pi|π!', 'pi()', $test); // Replace pi with pi function
    eval('$result = '.$test.';');
}
else
{
    $result = false;
}

?>
于 2012-06-17T01:34:36.110 回答
0

eval总是危险的。一旦您开始列入黑名单(过滤),人们就会想方设法绕过您在过滤逻辑中所做的假设。将有效表达式列入白名单是一种更安全的方法。

但是防止有人滥用该功能的最有效方法可能是为数学表达式编写适当的解析器。如果您想要支持的公式不太复杂,那么如果您使用简单的自上而下递归下降解析器方法,这甚至不是什么大问题。这个答案有一些参考资料可以帮助您入门。还有这篇文章为一个简单的计算器开发了一个递归下降解析器(不幸的是,它是用 Java 编写的)。

于 2012-06-17T15:38:52.697 回答