在内容管理系统或模板引擎中,我们经常需要解析自定义的标签,例如将{%github user/repo %}这样的标记转换为标准的html链接repo。然而,在实现这一功能时,如果正则表达式构造不当,可能会导致安全漏洞或不准确的解析结果。
初始尝试与常见陷阱
一个常见的错误是使用过于宽泛的正则表达式,例如利用.*?(非贪婪匹配)来捕获标签内容。考虑以下代码片段:
function parseliquid($string)
{
$regexp = '/\{%github (.*?)%\}/'; // 这里的(.*?)是问题所在
preg_match($regexp, $string, $matches);
return $matches;
}
var_dump(parseliquid("## Hello {%github isn't/safe {%github repo/user %} %}"));当输入字符串为## Hello {%github isn't/safe {%github repo/user %} %}时,我们期望提取的是repo/user,但实际输出却是:
array(2) {
[0]=> string(41) "{%github isn't/safe {%github repo/user %}"
[1]=> string(30) "isn't/safe {%github repo/user "
}问题在于.*?虽然是非贪婪的,但它会匹配从第一个{%github到第一个%}之间的所有字符。在存在嵌套或多个相似模式时,它无法智能地识别出我们真正想要捕获的特定格式内容。更重要的是,.*?允许匹配任何字符,这可能导致注入不安全的内容,从而带来潜在的安全风险。
构建健壮且安全的解析函数
为了解决上述问题,我们需要一个更精确的正则表达式,它不仅能正确捕获目标内容,还能通过模式匹配对内容进行初步的格式验证,从而提高安全性。
立即学习“PHP免费学习笔记(深入)”;
以下是一个推荐的解决方案,它使用preg_match_all函数和更严格的正则表达式:
...) : 命名捕获组,名为 'repo'
// [a-z0-9-_]+ : 匹配一个或多个小写字母、数字、连字符或下划线 (用于用户名或仓库名)
// \/ : 匹配字面量斜杠
// [a-z0-9-_]+ : 匹配一个或多个小写字母、数字、连字符或下划线 (用于仓库名)
// \s+\} : 匹配一个或多个空格和字面量 %}
\preg_match_all('/\{\%github\s(?[a-z0-9-_]+\/[a-z0-9-_]+)\s+\}/', $value, $matched);
// 检查是否成功捕获到 'repo' 命名组
if (!isset($matched['repo'])) {
return [];
}
// 使用 array_map 将捕获到的仓库名称转换为完整的GitHub URL
return \array_map(static fn ($item) => 'https://github.com/'.$item, $matched['repo']);
}
// 示例用法
$inputString = '{%github isnt/safe %} {%github repo/user1-test %} This is another tag {%github my-org/my-project %}';
\var_dump(getRepositoryNames($inputString)); 代码解析:
- preg_match_all: 这个函数用于在字符串中查找所有匹配正则表达式的子串,而不是只找第一个。这对于处理多个自定义标签的场景至关重要。
-
正则表达式 /\{\%github\s(?
[a-z0-9-_]+\/[a-z0-9-_]+)\s+\}/ :- \{\%github\s: 精确匹配字面量{%github后跟一个空格。\用于转义特殊字符{和%。
- (?
...): 这是一个命名捕获组。它将匹配到的内容存储在一个名为repo的数组键下,方便后续访问。 - [a-z0-9-_]+\/[a-z0-9-_]+: 这是整个正则表达式中最关键的部分。它定义了GitHub仓库名称的预期格式。
- [a-z0-9-_]+: 匹配一个或多个小写字母、数字、连字符或下划线。这通常是GitHub用户名或仓库名的有效字符集。
- \/: 匹配字面量斜杠/,用于分隔用户名和仓库名。
- [a-z0-9-_]+: 再次匹配一个或多个有效字符,用于仓库名。
- \s+\}: 匹配一个或多个空格后跟字面量%}。
- $matched['repo']: preg_match_all会将所有命名捕获组的内容存储在 $matched 数组中,键名即为捕获组的名称。
- array_map: 这个函数将 $matched['repo'] 数组中的每个仓库名称作为参数,传递给一个匿名函数。匿名函数负责将每个仓库名称前加上 https://github.com/,从而生成完整的GitHub URL。
示例输出:
array(3) {
[0]=> string(28) "https://github.com/isnt/safe"
[1]=> string(34) "https://github.com/repo/user1-test"
[2]=> string(36) "https://github.com/my-org/my-project"
}注意事项与总结
-
安全性提升: 通过限制捕获组(?
[a-z0-9-_]+\/[a-z0-9-_]+)的匹配模式,我们确保了只有符合特定格式(即有效的GitHub user/repo格式)的字符串才会被提取。这大大降低了恶意注入或意外解析错误数据的风险。 - 精确匹配: 该方法避免了.*?可能导致的贪婪匹配问题,确保了在复杂字符串中也能准确提取所需内容。
- 灵活性: preg_match_all可以轻松处理字符串中出现的多个自定义标签。
- 扩展性: 如果需要支持其他类型的Liquid风格标签(例如{%youtube video_id %}),可以根据需要修改或添加新的正则表达式。
- 输出编码: 如果将解析后的URL直接嵌入到HTML中,请务必使用htmlspecialchars()等函数对URL进行适当的HTML实体编码,以防止跨站脚本(XSS)攻击。
通过采用这种结合了精确正则表达式和preg_match_all的策略,我们可以构建一个既安全又高效的PHP函数,用于解析和转换自定义的Liquid风格标签。
