Что делать с preg replace на PHP?

Question

[UnRealName]

Есть магазин на CMS Webasyst. Тестировал антивирус Virusdie, и пришло уведомление, что есть уязвимость.



Под подозрение попала строка:

$language_iso2 = preg_replace('/^([\w])/e',"strtoupper('\\1')",$language->iso2);

Весь фрагмент:

if(!$language_iso2){
			$language = LanguagesManager::getCurrentLanguage();
			/*@var $language Language*/
			if(in_array(strtolower($language->iso2),array('en','ru','nl','de','lv','es'))){
				$language_iso2 = preg_replace('/^([\w])/e',"strtoupper('\\1')",$language->iso2);
			}
		}

Подскажите, пожалуйста, как мне избавиться от этого так, чтобы сайт не сломался.

Файл находится по пути:

/published/SC/html/scripts/modules/payment/class.chronopay.php

Answer 1

[Mikhail Osher]

Флаг "e" - считается deprecated, мол security проблемы могут быть.
Используйте preg_replace_callback.

$language_iso2 = preg_replace_callback(
    '/^([\w])/e',
    function($m) {
        return strtoupper($m[1]);
    },
    $language->iso2
);

// UPD

php.net/manual/ru/function.preg-replace.php
php.net/manual/ru/reference.pcre.pattern.modifiers...

Модификатор /e теперь считается устаревшим. Используйте функцию preg_replace_callback(). Смотрите документацию PREG_REPLACE_EVAL с дополнительной информацией и описанием проблем с безопасностью.

Comments

[Melkij]

Поправлю, что модификатор e уже удалён и в 7.0.0 его не будет.

[UnRealName]

Mikhail Osher - спасибо, помогло.
Melkij - я не в теме, что не так с модификатором e?