Как дать возможность пользователю писать мат. формулы для расчёта (безопасный eval)?

Question

[Илья]

Пользователь у себя в личном кабинете задаёт выражения с переменными, типа:

Две переменные, результат работы bool:
retail_price - price - 300 > 500

Тоже переменные, но результат работы число:
(retail_price + price) / 100 + 100

Есть либа jlawrence/eos, почти то что нужно, безопасный eval для мат операций. Но, насколько я понял, не поддерживает операторы сравнения.

Думаю использование eval решит проблему, но звучит не очень безопасно. Сами формулы будут в бд храниться, а расчёт по ним будет в кроне. Быть может всё-таки eval будет норм, если устроить жёсткую валидацию при записи в бд?

Какие ещё варианты есть?

Answer 1

[Антон Шаманов]

заменяешь запятые на точки
заменяешь плейсхолдеры вроде price на значения
удаляешь все символы кроме цифр, скобок, мат.знаков и точек + если нужны базовые функции вроде sin/cos, то оставляешь еще a-z, но проверяешь чтобы функции были в списке мат.функций
и запускай через eval()

Comments

[Илья]

Ну да, звучит как то что нужно. Но всё-таки переживаю за безопасность. Получается что нужны цифры, +-.*, знаки сравнения (<>), скобки и логические операторы && и ||. Возможно есть способ составить их этих символов какой-то вредоносный код?

[Антон Шаманов]

Илья, ты объясни подробнее задачу, а то может и правда парсер вроде token_get_all() потребуется.. ; ? ` " ' $ нет + фукнции только из списка т.к. не вижу как внедрить код.
можно еще через sql выражение рассчитать - что-то вроде "SELECT (a/b) - 10 AS result FROM anytable LIMIT 1" или установить расширения-песочницы вроде LuaSandbox или V8JS

[FanatPHP]

Илья, не надо слушать этого клоуна.

[Антон Шаманов]

FanatPHP, когда ты уже научишься аргументировать свои комменты? (:

Answer 2

[nokimaro]

https://github.com/neonxp/MathExecutor

Comments

[Антон Шаманов]

довольно странный токинизатор (проще было разобрать с помощью token_get_all() или nikic/php-ast) и притом дырявый - значения переменных не проверяются, хотя если они поступают не от пользователя, то сойдет.

Answer 3

[FanatPHP]

https://www.google.com/search?q=php+math+parser

Comments

[Антон Шаманов]

ну да, это значительно лучше)) особенно учитывая что ответ со stack-overflow аналог моего ответа

[Immortal_pony]

Антон Шаманов Почему в качестве аргумента ты выбрал не либу, которая находится первой в поиске, а ответ на SO десятилетней давности от какого-то анонима?

[Антон Шаманов]

Immortal_pony, ты её код видел? самописный ast парсер да еще и на регулярках...