本文介绍一种轻量、可控的 php 方案,通过正则匹配与回调函数解析外部 sql 文件中的 `{$var}` 和 `{$arr[0]}` 类型占位符,并安全替换为对应变量值,避免直接拼接导致的 sql 注入风险。
在 PHP 中,双引号字符串支持复杂(花括号)语法插值(如 "Hello {$user->name}"),但该机制仅对内联字符串生效——一旦 SQL 语句从外部文件(如 .sql)读取,它就变成纯文本,PHP 不会自动执行变量解析。你遇到的问题正是如此:'SELECT ... WHERE msgid=\'{$arg[1]}\' ' 中的 {$arg[1]} 并未被求值,而是原样传给 PostgreSQL,导致查询条件恒为字面量 {$arg[1]},自然无法匹配数据。
直接使用 eval() 或 create_function() 解析字符串极其危险,且违背最小权限原则;而 pg_query_params() 虽安全,却要求参数与 SQL 结构强耦合(需提前知道占位符数量与类型),难以适配“每行 SQL 动态含不同变量”的场景。
✅ 推荐方案:白名单式正则插值 + 显式作用域控制
我们不依赖 PHP 的动态变量解析(如 ${$name}),而是用 preg_replace_callback() 精确捕获 {$var} 和 {$arr[index]} 模式,并在受控回调中查表替换:
// 预定义可被插值的变量(显式声明,杜绝任意变量访问)
$allowedVars = [
'bar' => 'VALUE-A',
'arg' => ['VALUE-B', 'VALUE-C'], // $arg[0], $arg[1]...
];
function interpolate($matches) use ($allowedVars) {
$varName = $matches[1];
$index = $matches[2] ?? null;
// 严格校验变量名是否在白名单中
if (!isset($allowedVars[$varName])) {
return 'NULL'; // 或抛出异常:throw new InvalidArgumentException("Unsafe var: $varName");
}
$value = $allowedVars[$varName];
// 处理数组访问:$arg[1]
if ($index !== '' && is_array($value)) {
return $value[(int)$index] ?? 'UNDEF';
}
// 处理普通变量:$bar
return is_scalar($value) ? $value : 'UNDEF';
}
// 读取并插值 SQL 行
$fh = fopen('/home/www/KPI-Summary.sql', 'r') or die('Failed to open SQL file');
$dbh = pg_connect($connect) or die('DB connection failed: ' . pg_last_error());
$j = 0;
while (($line = fgets($fh)) !== false) {
// 关键:安全插值(仅支持 $var 和 $arr[N],不支持嵌套或对象链)
$line = preg_replace_callback(
'/\{\$([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*)\[(\d+)\]\}|' .
'\{\$([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*)\}/',
function ($m) use ($allowedVars) {
if (isset($m[1], $m[2])) { // 匹配 $arr[N] 形式
return interpolate(['', $m[1], $m[2]]);
}
if (isset($m[3])) { // 匹配 $var 形式
return interpolate(['', $m[3], '']);
}
return '';
},
$line
);
$result = pg_query($dbh, $line);
if (!$result) {
trigger_error("SQL error on line: " . htmlspecialchars($line), E_USER_WARNING);
continue;
}
// 处理结果...
$tmp[$j][2] = [];
while ($row = pg_fetch_row($result)) {
$tmp[$j][2][] = $row;
}
$j++;
}
fclose($fh);? 正则说明:
- \$([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*) → 匹配合法 PHP 变量名(支持 Unicode)
- \[(\d+)\] → 仅匹配数字索引(拒绝 $arr[foo] 或 $arr[])
- 使用 | 分隔两个模式,确保优先匹配带索引的格式
⚠️ 重要注意事项:
立即学习“PHP免费学习笔记(深入)”;
- 绝不将用户输入放入 $allowedVars —— 所有可插值变量必须由开发者显式定义、静态初始化;
- 禁止插值 SQL 关键字或结构(如表名、列名),此方案仅适用于 WHERE 值 类场景;
- 若需更高安全性,应改用 pg_query_params() + 解析 SQL 占位符(如 :arg1),再映射到 $allowedVars,实现完全参数化;
- 生产环境建议添加日志记录插值前后的 SQL 行,便于审计。
总结:外部 SQL 文件的变量插值需放弃“自动解析”幻想,转而采用显式白名单 + 正则受限匹配 + 回调安全求值三重保障。这虽增加少量代码,却换来可维护性与安全性——远胜于 eval() 或字符串拼接的“方便陷阱”。
