我应该使用 eval() 还是 call_user_func()？

Question

我正在开发一个 php 项目，我想运行从 MySQL 数据库获取的代码。 不安全代码不可能被注入，所以我唯一担心的是性能。 我应该使用 eval() 以便直接运行代码，还是解析它以便 call_user_func() 运行它？

例如，如果我获取的代码是“myfunc(1,2,3); anotherFunc(3,2,1);”
我可以直接 eval() 来运行代码。

但对于 call_user_func()，我必须解析字符串才能运行它。 那么在这种情况下使用哪个函数更好呢？

Answer 1

将 PHP 存储在数据库中本身就是一种糟糕的设计味道； 即使在这种情况下，您非常确定它永远不会包含不安全的代码，但尽量减少您必须做出的假设或防御的数量总是好的。 如果您将 PHP 代码存储在数据库中，那么攻击者访问您的数据库的攻击很快就会变得更加严重，变成攻击者可以运行任意代码的攻击！ 我知道您的数据库像这样受到损害的可能性极小，但尽管如此，即使是不太可能的情况，也不要让您的系统受到不必要的损害，这是一种良好的安全实践。

许多人同意 eval() 应该始终，无一例外，在 PHP 代码中应避免使用。 总有一个替代方案。

然而，在这种情况下，我认为我不得不说使用 eval() 将是您的最佳解决方案，因为您已经将 PHP 代码存储在数据库中，因此使用 eval() 不会增加您的风险除此之外。

但是，我建议

1. 您在 eval() 之前尝试验证代码，并在允许的范围内保持保守。 假设攻击者以某种方式进入了您的数据库，甚至认为这不太可能。
2. 您至少认真考虑重写您的应用程序，以便 PHP 代码不存储在数据库中。 如果您要存储复杂的数据结构，请考虑使用 JSON 甚至 XML 之类的数据结构。 对于这些存在安全的解析器。

如果这个答案看起来有点反动，我很抱歉； 我只是碰巧觉得这种事情非常重要。

Answer 2

作为一般规则，我总是尝试尽可能远离 eval()。
然而，这个案例看起来是一个很好的候选者。

你说“不可能注入不安全的代码”，所以最大的问题是：数据库中是否有可能存在不工作的代码？

如果没有， eval() 是解决方案，但如果有适当的解析和错误日志记录等可能是更安全的选择。 （我相信使用 call_user_func_array() 理论上速度更快，因此任何解析开销可能都可以忽略不计）

Answer 3

我认为解析会增加开销，但唯一可以确定的方法是运行测试。 使用不同的函数尝试两种方法，看看结果如何。 使用代表您希望存储的内容的代码。

祝你好运！

Answer 4

使用 eval()。 其他任何事情都不值得付出努力——它们不会有任何积极的副作用。

Answer 5

您可能想看看 runkit 扩展，它可以在沙箱中执行 php，而不影响正在运行的代码。

如果该代码应该影响您正在运行的代码，请使用 eval()。

Answer 6

您也应该将要运行的代码包装在 try/catch 块中，以防出现错误（即使您说不会，但有可能，这是最佳实践）