Самый безопасный способ использования eval для анализа уравнений, введенных формой

Question

Мне интересно, какие вещи следует проверять при использовании eval() в PHP для анализа формулы, введенной пользователем, заполняющей форму. Я видел много ответов об eval(), но не все из них, похоже, согласны.

Вот что я собрал:

• Не используйте Eval для строк (это может быть проблемой, так как она является формула мне нужно разобрать)
• Strip вход приходит от формы (я не совсем уверен, что вещи, которые я должен раздеться)
• Eval может или не может быть злым, и представляет собой угрозу безопасности (есть альтернативы для разбора уравнения в строке?)

Что вы думаете, что я должен делать?

EDIT: Я пробовал метод eval, и, хотя он работает, санитария, которую я использовал, не поддерживала более двух операндов. Поскольку мне действительно не хочется писать собственное (возможно, небезопасное) решение для санитарии, я просто собираюсь найти и использовать предварительно написанный математический класс. Спасибо всем за предложения!

Answer 1

Если вы должны использовать eval, на странице eval docs на нем есть код, который позволит вам фильтровать математические формулы. Однако, как и другие, и страница документов PHP, сказали, что не рекомендуется использовать eval, если нет другой альтернативы.

<?php 

$test = '2+3*pi'; 

// Remove whitespaces 
$test = preg_replace('/\s+/', '', $test); 

$number = '(?:\d+(?:[,.]\d+)?|pi|π)'; // What is a number 
$functions = '(?:sinh?|cosh?|tanh?|abs|acosh?|asinh?|atanh?|exp|log10|deg2rad|rad2deg|sqrt|ceil|floor|round)'; // Allowed PHP functions 
$operators = '[+\/*\^%-]'; // Allowed math operators 
$regexp = '/^(('.$number.'|'.$functions.'\s*\((?1)+\)|\((?1)+\))(?:'.$operators.'(?2))?)+$/'; // Final regexp, heavily using recursive patterns 

if (preg_match($regexp, $q)) 
{ 
    $test = preg_replace('!pi|π!', 'pi()', $test); // Replace pi with pi function 
    eval('$result = '.$test.';'); 
} 
else 
{ 
    $result = false; 
} 

?> 

Answer 2

Использование EVAL на входе пользователя - отличный способ получить доступ к вашему серверу. Не.

Допустимый метод заключается в анализе выражения, поэтому вы понимаете каждый его элемент и затем оцениваете выражение, которое вы анализировали. Для математических выражений вы можете найти доверенный пакет , который выполняет только это.

Answer 3

eval всегда опасно. Как только вы начнете черный список (фильтрацию), люди найдут способы обойти допущения, которые вы делаете в своей логике фильтра. Белые списки действительных выражений - это более безопасный способ.

Но самый эффективный способ защиты от кого-либо, злоупотребляющего функциональностью, - это, вероятно, написать правильный парсер для математических выражений. Если формулы, которые вы хотели бы поддержать, не слишком сложны, это даже не та часть сделки, если вы используете простой метод парсера с реверсивным спусками сверху вниз. У этого answer есть несколько ссылок, чтобы вы начали. Также есть this article, который разрабатывает рекурсивный синтаксический анализатор для простого калькулятора (к сожалению, он находится на Java, хотя).