应使用preg_match校验权限字符串格式合法性,如'/^[a-z0-9_:]+(?:,[a-z0-9_:]+)*$/'确保只含小写字母、数字、下划线、冒号、逗号且无非法空段或连续逗号。
preg_match 校验权限字符串是否合法
权限字段(如 "read,write,delete" 或 "admin:user:create")常作为字符串存入数据库或配置,直接用 in_array 或 explode + 循环判断易出错。用 preg_match 一次性校验格式是否合规,比层层 if 更可靠。
关键不是“能不能用正则”,而是“该匹配什么”。权限字符串通常有明确约束:
- 只允许小写字母、数字、下划线、冒号、短横线、英文逗号
- 不能以逗号开头/结尾,不能连续两个逗号
- 每个权限段内部不能为空(如
"read,,write"不合法) - 常见分隔是逗号(扁平权限)或冒号(层级权限,如
user:profile:edit)
推荐校验模式:preg_match('/^[a-z0-9_:]+(?:,[a-z0-9_:]+)*$/', $perm)
这个表达式能覆盖大多数场景:开头非空,后续每段用逗号分隔,段内只允许安全字符。
避免用 preg_match 做权限逻辑判断
preg_match 是格式校验工具,不是权限判定引擎。别写成这样:
if (preg_match('/read|write/', $userPerm)) { /* 允许操作 */ }这有严重漏洞:
- "readable" 会被误判为含 "read"
- "superwrite" 会被误判为含 "write"
- 没做完整词边界控制,也没处理大小写或空格干扰
真正做权限检查,应该:
立即学习“PHP免费学习笔记(深入)”;
- 先用
preg_match确保$userPerm格式合法(防注入/脏数据) - 再
explode(',', $userPerm)得到数组 - 用
in_array('write', $permList, true)严格匹配(注意第三个参数true)
权限字段含冒号时的 preg_match 写法
像 "user:profile:read" 这类层级权限,冒号是合法分隔符,但不能出现在开头、结尾或连续出现(如 "user::read" 应拒绝)。此时正则需更严谨:
preg_match('/^[a-z0-9_]+(?::[a-z0-9_]+)*$/', $singlePerm)说明:
- ^[a-z0-9_]+:首段必须非空
- (?::[a-z0-9_]+)*:后面可跟零个或多个 “冒号+非空段”
- 整个表达式不带逗号,适用于单个层级权限项的校验
若权限字段是多个层级项拼接(如 "user:read,post:create"),应先按逗号切分,再对每个 $item 单独跑上面的正则。
注意 PCRE Unicode 和大小写问题
PHP 默认 preg_match 匹配 ASCII 字符。如果权限字段可能含中文、emoji 或大写字母(比如历史遗留系统),要明确处理:
- 禁用大写:在正则开头加
i修饰符(/.../i)不如在 PHP 层统一转小写后校验,更可控 - 支持 Unicode 字母:用
\p{L}替代a-z,但要注意服务器 PCRE 版本是否支持(PHP 7.3+ 较稳) - 最稳妥做法:权限字段入库前强制转小写 + 剔除空格,校验时只用 ASCII 正则,避免环境差异导致行为不一致
真正难的不是写出一个“看起来能用”的正则,而是想清楚权限字段的业务边界在哪——是仅限 ASCII?是否允许用户自定义权限名?有没有预留扩展字符位?这些决定了正则该多严或多松。
