使用eval解析表单输入的方程式的最安全的方法

时间:2012-06-17 01:22:36

标签: php security eval formula equation

我想知道在PHP中使用 eval()来解析填写表单的用户输入的公式时应该检查哪些内容。我已经看到很多关于eval()的答案,但并非所有人都同意。

这是我收集的内容:

  • 不要对字符串使用eval(这可能是个问题,因为我需要解析的公式)
  • 剥离来自表单的输入(我不完全确定我需要删除哪些内容)
  • Eval可能是也可能不是邪恶的,并且存在安全风险(是否有解析字符串中的等式的替代方法?)

你认为我应该做些什么?

编辑:我尝试了eval方法,虽然它确实有效,但我使用的卫生设施不支持两个以上的操作数。由于我真的不想写自己的(可能不安全的)卫生正则表达式,我只是想找到并使用预先编写的数学课。感谢大家的建议!

3 个答案:

答案 0 :(得分:4)

在用户输入上使用EVAL是让您的服务器受到损害的绝佳方式。不。

可接受的方法是解析表达式,以便理解它的每个元素,然后计算你解析的表达式。对于数学表达式,您可能会找到一个可信的 这样做的包。

答案 1 :(得分:3)

如果您必须使用eval,则其上的eval docs页面会显示一些代码,以便您过滤数学公式。但正如其他人和PHP文档页面所说,除非没有其他选择,否则使用eval并不是一个好主意。

<?php

$test = '2+3*pi';

// Remove whitespaces
$test = preg_replace('/\s+/', '', $test);

$number = '(?:\d+(?:[,.]\d+)?|pi|π)'; // What is a number
$functions = '(?:sinh?|cosh?|tanh?|abs|acosh?|asinh?|atanh?|exp|log10|deg2rad|rad2deg|sqrt|ceil|floor|round)'; // Allowed PHP functions
$operators = '[+\/*\^%-]'; // Allowed math operators
$regexp = '/^(('.$number.'|'.$functions.'\s*\((?1)+\)|\((?1)+\))(?:'.$operators.'(?2))?)+$/'; // Final regexp, heavily using recursive patterns

if (preg_match($regexp, $q))
{
    $test = preg_replace('!pi|π!', 'pi()', $test); // Replace pi with pi function
    eval('$result = '.$test.';');
}
else
{
    $result = false;
}

?>

答案 2 :(得分:0)

eval总是危险的。一旦你开始列入黑名单(过滤),人们就会找到绕过你在过滤器逻辑中做出的假设的方法。将有效表达式列入白名单是一种更安全的方法。

但是防止某人滥用功能的最有效方法可能是为数学表达式编写一个合适的解析器。如果你想支持的公式不是太复杂,那么如果你使用一个简单的自上而下的递归下降解析器方法,它甚至都没有那么多。这个answer有一些参考可以帮助您入门。还有this article为一个简单的计算器开发一个递归下降解析器(不幸的是,它在Java中)。