PHP中无内置字符串解析表达式算法,安全实现需避免eval(),推荐Symfony ExpressionLanguage库或手写递归下降解析器,处理数学表达式、结构化字符串及DSL时须严格校验输入、控制深度并确保类型安全。
PHP 中没有内置的“字符串解析表达式算法”,但实现类似功能通常指将形如 "a + b * 2 - 10" 的字符串当作数学表达式求值,或解析自定义 DSL(领域特定语言)字符串。核心在于**安全地将字符串转换为可执行逻辑**,而非直接用 eval()——后者极不安全,应避免。
安全解析数学表达式
常见需求是计算用户输入的简单算术式(如计算器、配置公式)。推荐使用已验证的第三方库或手写递归下降解析器。
-
用
symfony/expression-language:官方推荐,支持变量、函数、安全沙箱。例如:
zuojiankuohaophpcn?php
use Symfony\Component\ExpressionLanguage\ExpressionLanguage;
$lang = new ExpressionLanguage();
echo $lang->evaluate('a + b * 2', ['a' => 5, 'b' => 3]); // 输出 11
?> - 轻量手写解析器(仅四则运算)**:按运算符优先级分步处理,先分割乘除,再处理加减。关键点是跳过空格、识别负号与减号区别、用栈或递归处理括号。
解析结构化字符串(如键值对、CSV、自定义格式)
若字符串是结构化文本(如 "name=张三;age=25;city=北京"),重点在分隔符识别与转义处理。
- 用
parse_str(str_replace(';', '&', $str), $output)快速转成数组(需确保格式类 URL 编码); - 更健壮的做法是正则匹配:
preg_match_all('/([^=;]+)=([^;]*)/', $str, $matches),再用array_combine($matches[1], $matches[2]); - 涉及引号包裹(如
title="Hello World";score=95),需用str_getcsv()或增强正则处理转义双引号。
避免 eval() 的替代方案
任何试图动态执行字符串代码的场景,都应优先排除 eval()。
立即学习“PHP免费学习笔记(深入)”;
- 用
call_user_func()+ 白名单函数映射代替执行任意函数调用; - 将表达式编译为中间结构(如抽象语法树 AST),再遍历求值——Laravel 的
Illuminate\Support\Str::of()链式操作就是类似思路; - 对于模板类表达式(如
{{ user.name | upper }}),用 Twig 或 Blade 等模板引擎,它们本身已做安全隔离。
关键注意事项
无论哪种解析,必须考虑:
-
输入校验:长度限制、字符白名单(如只允许数字、字母、
+ - * / ( ) . , ; =); - 超时与深度控制:递归解析防栈溢出,循环解析防无限循环;
-
类型安全:字符串数字(
"0123")是否自动转整型?空值如何处理?需明确定义; - 错误反馈:给出清晰的错误位置(如第 5 个字符非法),而非仅抛异常。
