PHP でeval()を使用して、ユーザーがフォームに入力した数式を解析するときに、どのようなことをチェックする必要があるのか 疑問に思っています。eval() に関する多くの回答を見てきましたが、すべてが同意しているようには見えません。
ここに私が集めたものがあります:
皆さんは私が何をすべきだと思いますか?
編集: eval メソッドを試してみましたが、うまくいきましたが、使用したサニテーションは 2 つ以上のオペランドをサポートしていませんでした。独自の (おそらく安全ではない) サニテーション正規表現を書きたくないので、代わりに事前に作成された数学クラスを見つけて使用します。提案してくれたみんなに感謝します!
ユーザー入力にEVALを使用することは、サーバーを危険にさらすための優れた方法です。しないでください。
許容できる方法は、式を解析することです。そのため、式のすべての要素を理解してから、解析した式を評価します。数式の場合、おそらくこれを実行する信頼できるパッケージを見つけることができます。
を使用する必要がある場合はeval、そのevalドキュメントページに数式をフィルタリングできるコードが含まれています。evalしかし、他の人や PHP のドキュメント ページで述べられているように、他に代替手段がない場合を除き、使用するのは得策ではありません。
<?php
$test = '2+3*pi';
// Remove whitespaces
$test = preg_replace('/\s+/', '', $test);
$number = '(?:\d+(?:[,.]\d+)?|pi|π)'; // What is a number
$functions = '(?:sinh?|cosh?|tanh?|abs|acosh?|asinh?|atanh?|exp|log10|deg2rad|rad2deg|sqrt|ceil|floor|round)'; // Allowed PHP functions
$operators = '[+\/*\^%-]'; // Allowed math operators
$regexp = '/^(('.$number.'|'.$functions.'\s*\((?1)+\)|\((?1)+\))(?:'.$operators.'(?2))?)+$/'; // Final regexp, heavily using recursive patterns
if (preg_match($regexp, $q))
{
$test = preg_replace('!pi|π!', 'pi()', $test); // Replace pi with pi function
eval('$result = '.$test.';');
}
else
{
$result = false;
}
?>
eval常に危険です。ブラックリスト (フィルタリング) を開始するとすぐに、人々はフィルター ロジックで作成した仮定を回避する方法を見つけるでしょう。有効な式をホワイトリストに登録することは、より安全な方法です。
しかし、誰かが機能を悪用するのを防ぐ最も効果的な方法は、おそらく数式用の適切なパーサーを作成することです。サポートしたい数式がそれほど複雑でない場合、単純なトップダウンの再帰降下パーサー アプローチを使用する場合、それほど大きな問題ではありません。この回答には、開始するための参照がいくつかあります。単純な電卓用の再帰降下パーサーを開発するこの記事もあります (残念ながら、これは Java で行われます)。