PHP/Laravel中安全地从字符串执行数学计算表达式

问题背景：从字符串执行计算的挑战

在开发过程中，我们有时会遇到需要从字符串变量中执行数学计算的需求。例如，有一个变量$val = '1000*2'，我们期望能够得到2000这个计算结果。直接将此类字符串作为代码执行，最直观的想法可能是使用php的eval()函数。然而，eval()函数会将传入的字符串当作php代码来执行，这带来了巨大的安全风险。如果字符串内容来源于用户输入或不可信的源，恶意用户可能会注入任意php代码，从而导致严重的安全漏洞（如远程代码执行）。因此，在生产环境中，应尽可能避免使用eval()。

基础解决方案：针对单一运算符的解析方法

对于只包含单一运算符（如乘法、加法等）的简单表达式，我们可以通过字符串分割和数组归约（array_reduce）的方法安全地执行计算。以下以乘法表达式为例进行说明。

核心思路：

1. 分割字符串： 使用explode()函数根据运算符将表达式字符串分割成数字部分。
2. 归约计算： 使用array_reduce()函数遍历分割后的数字部分，并按指定运算符进行累积计算。

示例代码：处理乘法表达式

假设我们有一个乘法表达式字符串，我们可以这样处理：

立即学习“PHP免费学习笔记（深入）”；

怪兽AI数字人

数字人短视频创作，数字人直播，实时驱动数字人

44

查看详情

<?php

/**
 * 安全地计算只包含乘法运算符的字符串表达式。
 *
 * @param string $expression 待计算的乘法表达式，例如 '1000*2*3.5'
 * @return float 计算结果
 */
function calculateMultiplicationString(string $expression): float
{
    // 1. 输入验证：
    // 使用正则表达式确保表达式只包含数字、小数点和乘号。
    // 这大大增强了安全性，防止注入非数字或非乘号字符。
    if (!preg_match('/^(\d+(\.\d+)?\*)*\d+(\.\d+)?$/', $expression)) {
        // 如果表达式格式不符合预期，可以抛出异常、记录错误或返回默认值
        trigger_error("Invalid multiplication expression format: " . $expression, E_USER_WARNING);
        return 0.0; // 返回0.0作为错误或默认值
    }

    // 2. 分割字符串：
    // 根据乘号 '*' 将表达式分割成数字部分数组。
    $parts = explode('*', $expression);

    // 3. 归约计算：
    // 使用 array_reduce 遍历数组，执行累积乘法。
    // 初始值设为 1.0，以确保即使只有一个数字也能正确返回，并进行浮点数计算。
    $result = array_reduce($parts, function($carry, $item) {
        // 经过 preg_match 验证后，这里可以直接将 $item 转换为浮点数。
        return $carry * (float)$item;
    }, 1.0);

    return $result;
}

// 示例用法：
$val1 = '1000*2';
echo "表达式: " . $val1 . " -> 结果: " . calculateMultiplicationString($val1) . PHP_EOL; // 输出: 2000

$val2 = '10.5*3*2';
echo "表达式: " . $val2 . " -> 结果: " . calculateMultiplicationString($val2) . PHP_EOL; // 输出: 63

$val3 = '500'; // 单个数字也应该能正确处理
echo "表达式: " . $val3 . " -> 结果: " . calculateMultiplicationString($val3) . PHP_EOL; // 输出: 500

// 示例：无效输入（会触发警告并返回 0.0）
$val4 = '1000*abc';
echo "表达式: " . $val4 . " -> 结果: " . calculateMultiplicationString($val4) . PHP_EOL; // 输出: 0 (并伴随一个警告)

$val5 = '2+3'; // 包含非乘号运算符（会触发警告并返回 0.0）
echo "表达式: " . $val5 . " -> 结果: " . calculateMultiplicationString($val5) . PHP_EOL; // 输出: 0 (并伴随一个警告)

?>

代码解析：

• calculateMultiplicationString 函数接收一个字符串 $expression。
• 输入验证是至关重要的一步。preg_match('/^(\d+(\.\d+)?\*)*\d+(\.\d+)?$/', $expression) 正则表达式严格检查了表达式的格式，确保它只包含数字（整数或浮点数）和乘号。任何不符合此模式的字符串都将被视为无效，从而有效阻止了潜在的安全风险和非预期输入。
• explode('*', $expression) 将表达式按乘号拆分为一个数字字符串数组。
• array_reduce() 是一个高阶函数，它对数组中的每个元素应用回调函数，并将其结果累积到一个单一的值中。
  • $carry 是累积值（初始值为1.0）。
  • $item 是当前数组元素。
  • 回调函数 function($carry, $item) { return $carry * (float)$item; } 将累积值与当前元素（转换为浮点数）相乘。
• 初始值 1.0 对于乘法运算至关重要，因为任何数乘以 1 都等于其本身。对于加法，初始值应为 0.0。

注意事项与进阶思考

1. 输入验证的严格性： 上述示例中的preg_match是实现安全性的关键。对于任何来自外部或不可信源的输入，务必进行严格的验证和过滤，以防止恶意注入或格式错误导致的问题。
2. 处理其他单一运算符：
   • 加法： 可以类似地使用explode('+', $expression)和array_reduce()，但array_reduce()的初始值应为0.0，回调函数为$carry + (float)$item。更简单地，可以直接使用array_sum()函数处理加法。
   • 减法/除法： 这两种运算不具备交换律和结合律，直接使用explode和array_reduce会比较复杂，因为操作顺序很重要。需要确保表达式从左到右依次计算。例如，对于减法，第一个元素是初始值，后续元素依次减去。
3. 运算符优先级与复杂表达式：
   • 上述方法仅适用于只包含单一运算符的简单表达式。它无法处理包含多种运算符（如'100+5*2'）或括号（如'(10+5)*2'）的复杂表达式，因为这些表达式涉及运算符优先级和计算顺序。
   • 对于更复杂的数学表达式，你需要实现一个完整的表达式解析器。这通常涉及以下技术：
     • 词法分析（Lexing）： 将表达式字符串分解成一系列有意义的“词元”（token），如数字、运算符、括号等。
     • 语法分析（Parsing）： 根据语法规则（如Shunting-yard算法或递归下降解析）将词元流转换为抽象语法树（AST）。
     • 求值（Evaluation）： 遍历AST来计算最终结果。
   • 手动实现一个完整的解析器较为复杂，建议使用成熟的PHP数学表达式解析库，例如：
     • symfony/expression-language：一个强大的组件，允许你定义和计算表达式，支持变量、函数和复杂的逻辑。
     • math-parser/math-parser：一个专门用于解析和计算数学表达式的库。
     • nikic/php-parser (虽然主要用于PHP代码解析，但其底层思想可借鉴)。
4. 错误处理： 除了格式验证，还应考虑如何处理其他错误情况，例如：
   • 除数为零。
   • 结果超出浮点数范围。
   • 空表达式。
   • 在函数内部抛出自定义异常而不是trigger_error，可以使错误处理更加灵活和结构化。

总结

从字符串执行数学计算是一个常见的需求，但必须优先考虑安全性。eval()函数虽然能直接执行字符串，但其固有的安全风险使其不适用于生产环境。对于只包含单一运算符的简单表达式，通过explode()结合array_reduce()（或array_sum()）并辅以严格的输入验证，可以构建一个安全有效的解决方案。

当面临更复杂的数学表达式，包含多种运算符、括号和优先级规则时，应避免尝试手动实现复杂的解析逻辑，而应转向使用成熟、经过充分测试的第三方PHP数学表达式解析库。这些库不仅能提供强大的功能，还能确保计算的正确性和代码的安全性。始终根据项目的实际需求和复杂程度，选择最合适的解决方案。

以上就是PHP/Laravel中安全地从字符串执行数学计算表达式的详细内容，更多请关注php中文网其它相关文章！