php - 根据用户输入创建一个类

Question

要求 $input 是不安全的。 '.php'。然后开设一个类(class)。我怎样才能使它安全，而不需要使用可以启动的类的白名单。

Ex 1.(错误代码)。

<?php

$input = $_GET['controller'];

require $input . '.php';

new $input;

?>

Answer 1

免责声明

首先我应该说，在您的系统中定义静态路由在设计上是安全的，而这个答案，即使我已经努力缓解安全问题，也应该在信任其操作之前进行彻底的测试和理解。

基础知识

首先，使用取自 the manual 的正则表达式确保 Controller 包含有效的变量名。 ;这消除了明显的错误条目:

$controller = filter_input(INPUT_GET, FILTER_VALIDATE_REGEXP, [
    'options' => [
        'regexp' => '/^[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*$/',
        'flags' => FILTER_NULL_ON_FAILURE,
    ]
]);

if ($controller !== null) {
    // load and use controller
    require_once("$controller.php");
    $c = new $controller();
}

执行层次结构

这很好用，但是如果有人尝试加载内部类怎么办？它可能会导致应用程序严重失败。

您可以引入所有 Controller 必须扩展或实现的抽象基类或接口(interface):

abstract class Controller {}

// e.g. controller for '?controller=admin'
class Admin extends Controller {}

顺便说一句，为避免名称冲突，您可以在单独的命名空间中定义它们。

这就是你将如何实现这样的层次结构:

if ($controller !== null) {
    // load and use controller
    require_once("$controller.php");
    if (is_subclass_of($controller, 'Controller')) {
        $c = new $controller();
    }
}

我正在使用 is_subclass_of()在实例化类之前进行类型检查。

自动加载

在这种情况下，您可以使用自动加载器，而不是使用 require_once():

// register our custom auto loader
spl_autoload_register(function($class) {
    $file = "$class.php"; // admin -> admin.class.php
    if (file_exists($file)) {
        require_once $file; // this can be changed
    }
});

这也是您可以规范化类名的地方，以便它更好地映射到文件名，并强制执行自定义命名空间，例如"App\\$class.php".

这将代码减少了一行，但使加载更加灵活:

if ($controller !== null) {
    // check hierarchy (this will attempt auto loading)
    if (class_exists($controller) && is_subclass_of($controller, 'Controller')) {
        $c = new $controller();
    }
}

所有这些代码都假定您有适当的错误处理代码；对于实现建议，您可以查看 this answer .