Wil*_*ver 29 php code-generation proxy-classes dynamic-compilation
这就是我想要做的事情:
$clsName = substr(md5(rand()),0,10); //generate a random name
$cls = new $clsName(); //create a new instance
function __autoload($class_name)
{
//define that instance dynamically
}
显然这不是我实际做的,但基本上我有一个类的未知名称,并根据名称,我想生成具有某些属性等的类.
我已经尝试过使用eval(),但它让我更适合私人和$ this->引用......
//编辑
好吧,很明显,我的短暂和甜蜜的"这就是我想做的事情"在那些可能提供答案的人中引起了巨大的冲突和惊愕.为了得到一个真正的答案,我会更详细.
我有一个验证框架,使用我维护的网站上的代码提示.每个函数都有两个定义
function DoSomething($param, $param2){
//code
}
function DoSomething_Validate(vInteger $param, vFloat $param2){
//return what to do if validation fails
}
我想在我的数据库中为主键添加验证器.我不想为每个表创建一个单独的类(203).所以我的计划是做类似的事情
function DoSomething_Validate(vPrimaryKey_Products $id){ }
__autoload将生成vPrimaryKey的子类并将table参数设置为Products.
现在开心?
小智 13
它很有趣,实际上这是eval几乎看不出这么糟糕的事情之一.
只要您可以确保没有用户输入将进入eval.
你仍然有缺点,比如当你使用字节码缓存代码不会被缓存等等但是eval的安全问题几乎与在eval中输入用户输入或者在错误的范围内有关.
如果你知道自己在做什么,eval会帮助你解决这个问题.
也就是说,在我看来,当你不依赖类型提示进行验证时,你会好得多,但你有一个功能
DoSomething_Validate($id)
{
// get_class($id) and other validation foo here
}
aki*_*cer 11
我知道这是一个老问题,有些答案可以解决,但我想提供几个能够回答原始问题的片段,我认为如果有人像我在搜索答案时所做的那样提供更广泛的解决方案这个问题.
创建单个动态类
<?php
// Without properties
$myclassname = "anewclassname";
eval("class {$myclassname} { }";
// With a property
$myclassname = "anewclassname";
$myproperty = "newproperty";
eval("class {$myclassname} { protected \${$myproperty}; }";
?>
只要您正确地转义文本,您还可以在其中添加一个函数.
但是,如果你想基于本身就是动态的东西动态创建类,比如为你提到的原始问题为数据库中的每个表创建一个类呢?
创建多个动态类
<?php
// Assumes $dbh is a pdo connection handle to your MySQL database
$stmt=$dbh->prepare("show tables");
$stmt->execute();
$result = $stmt->fetchAll(PDO::FETCH_ASSOC);
$handle = null;
$classcode = '';
foreach ($result as $key => $value) {
foreach ($value as $key => $value) {
$classcode = "class {$value} { ";
$stmt2=$dbh->prepare("DESC $value");
$stmt2->execute();
$result2 = $stmt2->fetchAll(PDO::FETCH_ASSOC);
foreach ($result2 as $key => $value) {
$classcode .= "public \${$value['Field']}; ";
}
$classcode .= "}";
eval($classcode);
}
}
?>
这将为数据库中的每个表动态生成一个类.对于每个类,将创建以每列命名的属性.
现在有人指出你不应该这样做.只要您控制eval中正在发生的事情,安全风险就不是问题.但是 - 如果你对它有足够深入的思考,那么最有可能的解决方案更有意义.我认为我有动态创建新类的完美用例.仔细检查问题证明不然.
一个可能的解决方案 - 使用stdClass创建只是数据容器的对象,而不需要任何方法.
另外 - 如上所述,您可以使用脚本手动生成许多类.在镜像数据库表的类的情况下,您可以使用我上面的相同逻辑,而不是执行eval,将该信息写入文件.
我认为使用eval()它不是一个可靠的解决方案,尤其是当您的脚本或软件将分发给不同的客户端时。共享主机提供商始终禁用eval()功能。
我正在考虑这样一个更好的方法:
<?php
function __autoload( $class ) {
require 'classes/'.$class.'.php';
}
$class = 'App';
$code = "<?php class $class {
public function run() {
echo '$class<br>';
}
".'
public function __call($name,$args) {
$args=implode(",",$args);
echo "$name ($args)<br>";
}
}';
file_put_contents('classes/App.php' ,$code);
$a = new $class();
$a->run();
执行完代码后,如果需要,您可以删除文件,我对其进行了测试,它可以正常工作。
从PHP 7.0开始,您只要具有一点点创造力并了解一些鲜为人知的PHP功能,就可以完全做到这一点,而不必求助于eval或动态创建脚本文件。您只需要使用匿名类和class_alias(),如下所示:
spl_autoload_register(function ($unfoundClassName) {
{
$newClass = new class{}; //create an anonymous class
$newClassName = get_class($newClass); //get the name PHP assigns the anonymous class
class_alias($newClassName, $unfoundClassName); //alias the anonymous class with your class name
}
之所以可行,是因为匿名类仍在幕后分配了一个名称,并置于全局范围内,因此您可以随意获取该类名称并为其别名。请查看上方匿名类链接下的第二条注释,以获取更多信息。
话虽如此,我觉得这个问题中的所有人都在说:“评估永远是一个非常糟糕的主意。只是永远不要使用它!” 只是重复他们从蜂巢头脑中听到的内容,而不是为自己思考。在语言中使用Eval是有原因的,在某些情况下可以有效使用它。如果您使用的是旧版本的PHP,在这里eval可能是一个不错的解决方案。
但是,它们是正确的,因为它可能会打开非常大的安全漏洞,并且您必须小心使用它并了解如何消除风险。重要的是,就像SQL注入一样,您必须清理在eval语句中输入的所有输入。
例如,如果您的自动装带器如下所示:
spl_autoload_register(function ($unfoundClassName) {
{
eval("class $unfoundClassName {}");
}
黑客可以执行以下操作:
$injectionCode = "bogusClass1{} /*insert malicious code to run on the server here */ bogusClass2";
new $injectionCode();
看看这有可能成为安全漏洞吗?黑客在两个bogusClass名称之间放置的任何内容都将通过eval语句在您的服务器上运行。
如果您调整自动加载器以检查传入的类名(即执行preg_match以确保没有空格或特殊字符,并根据可接受的名称列表进行检查等),则可以消除这些风险,然后评估eval在这种情况下完全可以使用。如果您使用的是PHP 7或更高版本,建议您使用上面的匿名类别名方法。
这几乎肯定是一个坏主意。
我认为您最好将时间花在创建一个脚本来为您创建类定义,而不是尝试在运行时执行此操作。
带有命令行签名的东西,例如:
./generate_classes_from_db <host> <database> [tables] [output dir]