问题描述:
PHP7废弃了preg_replace?
原本是中php5中处理url中后面参数替换清除的,代码如下
|
1
|
$url
= preg_replace(
'/([?&])src=[^&]+(&?)/e'
,
'"$2"==""?"":"$1"'
,
$url
);
|
但是到php7中就报错了
需要用preg_replace_callback来替换,请问该咋办?
相关代码
|
1
|
$url
= preg_replace(
'/([?&])src=[^&]+(&?)/e'
,
'"$2"==""?"":"$1"'
,
$url
);
|
问题分析:
e 修饰符因为存在安全隐患 自 5.3 开始就已经标记为了待移除的内容。
转而接替的是 preg_replace_callback,此方法第二个参数为一个回调函数,回调函数会自动传入比配的分组作为参数。在回调函数内部通过数组下标访问匹配组。(手机码字 未格式化代码)
|
1
2
3
|
preg_replace_callback(
'/([?&])src=[^&]+(&?)/'
,
function
(
$matches
){
return
$matches
[2]==
""
?
""
:
$matches
[1];
},
$url
);
|
知识点扩展:
PHP7已经删除了preg_replace的e修饰符
官网提示是这样的,对/e修饰符的支持已删除。请改用preg_replace_callback()
原因是/e 修正符使 preg_replace() 将 replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后),会被一句话后门使用
看看smarty中是也是这样用的,也是存在问题
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
$source_content
= preg_replace(
$search
.
'e'
,
"'"
.
$this
->_quote_replace(
$this
->left_delimiter) .
'php'
.
"' . str_repeat(\"\n\", substr_count('\\0', \"\n\")) .'"
.
$this
->_quote_replace(
$this
->right_delimiter)
.
"'"
,
$source_content
);
可以把smarty模板修改成这个
$source_content
= preg_replace_callback(
$search
,
function
(
$matches
){
$str
=
""
;
$str
.=
$this
->_quote_replace(
$this
->left_delimiter) .
'php'
;
$str
.=
str_repeat
(
"\\n\\"
, substr_count(
$matches
[1],
"\\n\\"
));
$str
.=
$this
->_quote_replace(
$this
->right_delimiter);
return
$str
;
},
$source_content
);
|