eval函数的替代方案是什么?

时间:2012-05-20 07:30:14

标签: php eval

我在当前项目中使用eval(),如下所示:

if (class_exists($class_name)) //$class_name depends on user input
    eval($class_name.'::MyStaticMethod()');
当且仅当名称为eval()的类存在时才会执行

$class_name,因此它有点安全,但我仍然认为这不是最佳解决方案。

我可以在不使用eval()的情况下执行上述代码吗?

5 个答案:

答案 0 :(得分:14)

我最近回答this questionmy answer的最后一部分完美地回答了这个问题,对于未来的读者比这里提供的答案更有用。这就是我回答自己问题的原因。

PHP具有在大多数情况下可以避免使用eval的功能:

  1. PHP是非常动态的语言。它可以使用strings执行以下操作:

    • 定义和/或获取变量(从PHP 4.3支持)。例如:

      $variableName = 'MyVariable';
// Create new variable with the name defined in variable $variableName
${$variableName} = 'MyValue';
//Outputs: string(7) "MyValue"
var_dump($MyVariable);
//Outputs: string(7) "MyValue"
var_dump(${'MyVariable'});

      Demo

    • 调用函数(PHP 4.3支持)。例如:

      // Create function with the name defined in variable $functionName
function MyFunction($argument) {
    return 'Argument passed is: '.$argument;
}

$functionName = 'MyFunction';

// Outputs:
// string(48) "Argument passed is: Calling MyFunction directly."
var_dump(MyFunction('Calling MyFunction directly.'));
// Outputs:
// string(51) "Argument passed is: Calling MyFunction with string."
var_dump($functionName('Calling MyFunction with string.'));

      Demo

    • 创建类的实例(从PHP 5.0支持)。例如:

      class MyClass {
    public function __construct() {
        echo 'Constructing MyClass'."\n";
    }
}

$className = 'MyClass';

$objFromString = new $className();
// Outputs: object(MyClass)#1 (0) {}
var_dump($objFromString);

      Demo

    • 调用静态方法(从PHP 5.0支持)。例如:

      class MyClass {
    public static function staticMethod() {
        return 'MyClass::staticMethod called';
    }
}

$staticMethodName = 'staticMethod';
// Outputs: string(28) "MyClass::staticMethod called"
var_dump(MyClass::$staticMethodName());

      Demo

      从PHP 5.3开始,类名也可以用string定义。例如:

      class MyClass {
    public static function staticMethod() {
    return 'MyClass::staticMethod called';
    }
}

$className = 'MyClass';
$staticMethodName = 'staticMethod';

var_dump($className::$staticMethodName());
var_dump($className::staticMethod());

      Demo

    • 调用对象的实例方法(从PHP 5.0支持)。例如:

      class MyClass {
    public function instanceMethod() {
        return 'MyClass::instanceMethod called';
    }
}

$methodName = 'instanceMethod';

$obj = new MyClass();
// Outputs: string(30) "MyClass::instanceMethod called"
var_dump($obj->$methodName());

      Demo

    • 访问对象的静态和实例属性(从PHP 5.0支持)。例如:

      class MyClass {
    public static $myStaticProperty;
    public $myInstanceProperty;
}

$staticPropertyName = 'myStaticProperty';
$instancePropertyName = 'myInstanceProperty';

MyClass::${$staticPropertyName} = 'my static value';
$obj = new MyClass();
$obj->{$instancePropertyName} = 'my instance value';

var_dump(MyClass::${$staticPropertyName});
var_dump($obj->{$instancePropertyName});

      Demo

  2. PHP有两个函数:call_user_funccall_user_func_array用于动态函数/方法调用。两者都有完整的记录,所以我不会在这里详细介绍。
  3. 即使上面的所有内容都不够,PHP 5也会提供很棒的Reflection API。遗憾的是,文档中的示例很少,但反思是一个非常大的主题。基本上,在阅读它的工作原理后使用反射并不是什么大不了的事。

答案 1 :(得分:6)

我建议call_user_func

call_user_func()的替代方案就是这样称呼它:

$class_and_method = 'Class::MyStaticMethod()';
$class_and_method();

答案 2 :(得分:5)

是:

call_user_func(array($class_name, 'MyStaticMethod'));

答案 3 :(得分:3)

从PHP 5.3 +开始,

$class_name::MyStaticMethod();

答案 4 :(得分:1)

Adisory: userinput + eval =安全漏洞;

eval也是一项昂贵的操作,需要将字符串解析为可操作的格式(解析树,抽象语法树等)并执行新找到的逻辑。

你不想评估每一小段代码。如果你有东西要咀嚼,请使用eval,或者把那个逻辑放在可以重复使用和参数化的地方,比如函数。

另见php 5.4 

$method = array('class_name', 'method_name');
$method(); // calls class_name::method_name()
相关问题
最新问题