使用PHP正则表达式安全解析自定义Liquid风格标签

在内容管理系统或模板引擎中，我们经常需要解析自定义的标签，例如将{%github user/repo %}这样的标记转换为标准的html链接repo。然而，在实现这一功能时，如果正则表达式构造不当，可能会导致安全漏洞或不准确的解析结果。

初始尝试与常见陷阱

一个常见的错误是使用过于宽泛的正则表达式，例如利用.*?（非贪婪匹配）来捕获标签内容。考虑以下代码片段：

function parseliquid($string)
{
    $regexp = '/\{%github (.*?)%\}/'; // 这里的(.*?)是问题所在
    preg_match($regexp, $string, $matches);
    return $matches;
}

var_dump(parseliquid("## Hello {%github isn't/safe {%github repo/user %} %}"));

当输入字符串为## Hello {%github isn't/safe {%github repo/user %} %}时，我们期望提取的是repo/user，但实际输出却是：

array(2) {
  [0]=> string(41) "{%github isn't/safe {%github repo/user %}"
  [1]=> string(30) "isn't/safe {%github repo/user "
}

问题在于.*?虽然是非贪婪的，但它会匹配从第一个{%github到第一个%}之间的所有字符。在存在嵌套或多个相似模式时，它无法智能地识别出我们真正想要捕获的特定格式内容。更重要的是，.*?允许匹配任何字符，这可能导致注入不安全的内容，从而带来潜在的安全风险。

构建健壮且安全的解析函数

为了解决上述问题，我们需要一个更精确的正则表达式，它不仅能正确捕获目标内容，还能通过模式匹配对内容进行初步的格式验证，从而提高安全性。

立即学习“PHP免费学习笔记（深入）”；

LongCat AI

美团推出的AI对话问答工具

下载

以下是一个推荐的解决方案，它使用preg_match_all函数和更严格的正则表达式：

...) : 命名捕获组，名为 'repo'
    // [a-z0-9-_]+ : 匹配一个或多个小写字母、数字、连字符或下划线 (用于用户名或仓库名)
    // \/ : 匹配字面量斜杠
    // [a-z0-9-_]+ : 匹配一个或多个小写字母、数字、连字符或下划线 (用于仓库名)
    // \s+\} : 匹配一个或多个空格和字面量 %}
    \preg_match_all('/\{\%github\s(?[a-z0-9-_]+\/[a-z0-9-_]+)\s+\}/', $value, $matched);

    // 检查是否成功捕获到 'repo' 命名组
    if (!isset($matched['repo'])) {
        return [];
    }

    // 使用 array_map 将捕获到的仓库名称转换为完整的GitHub URL
    return \array_map(static fn ($item) => 'https://github.com/'.$item, $matched['repo']);
}

// 示例用法
$inputString = '{%github isnt/safe %} {%github repo/user1-test %} This is another tag {%github my-org/my-project %}';
\var_dump(getRepositoryNames($inputString));

代码解析：

1. preg_match_all: 这个函数用于在字符串中查找所有匹配正则表达式的子串，而不是只找第一个。这对于处理多个自定义标签的场景至关重要。
2. 正则表达式 /\{\%github\s(?[a-z0-9-_]+\/[a-z0-9-_]+)\s+\}/:
   • \{\%github\s: 精确匹配字面量{%github后跟一个空格。\用于转义特殊字符{和%。
   • (?...): 这是一个命名捕获组。它将匹配到的内容存储在一个名为repo的数组键下，方便后续访问。
   • [a-z0-9-_]+\/[a-z0-9-_]+: 这是整个正则表达式中最关键的部分。它定义了GitHub仓库名称的预期格式。
     • [a-z0-9-_]+: 匹配一个或多个小写字母、数字、连字符或下划线。这通常是GitHub用户名或仓库名的有效字符集。
     • \/: 匹配字面量斜杠/，用于分隔用户名和仓库名。
     • [a-z0-9-_]+: 再次匹配一个或多个有效字符，用于仓库名。
   • \s+\}: 匹配一个或多个空格后跟字面量%}。
3. $matched['repo']: preg_match_all会将所有命名捕获组的内容存储在 $matched 数组中，键名即为捕获组的名称。
4. array_map: 这个函数将 $matched['repo'] 数组中的每个仓库名称作为参数，传递给一个匿名函数。匿名函数负责将每个仓库名称前加上 https://github.com/，从而生成完整的GitHub URL。

示例输出：

array(3) {
  [0]=> string(28) "https://github.com/isnt/safe"
  [1]=> string(34) "https://github.com/repo/user1-test"
  [2]=> string(36) "https://github.com/my-org/my-project"
}

注意事项与总结

• 安全性提升: 通过限制捕获组(?[a-z0-9-_]+\/[a-z0-9-_]+)的匹配模式，我们确保了只有符合特定格式（即有效的GitHub user/repo格式）的字符串才会被提取。这大大降低了恶意注入或意外解析错误数据的风险。
• 精确匹配: 该方法避免了.*?可能导致的贪婪匹配问题，确保了在复杂字符串中也能准确提取所需内容。
• 灵活性: preg_match_all可以轻松处理字符串中出现的多个自定义标签。
• 扩展性: 如果需要支持其他类型的Liquid风格标签（例如{%youtube video_id %}），可以根据需要修改或添加新的正则表达式。
• 输出编码: 如果将解析后的URL直接嵌入到HTML中，请务必使用htmlspecialchars()等函数对URL进行适当的HTML实体编码，以防止跨站脚本（XSS）攻击。

通过采用这种结合了精确正则表达式和preg_match_all的策略，我们可以构建一个既安全又高效的PHP函数，用于解析和转换自定义的Liquid风格标签。