如何在外部 SQL 文件中安全实现 PHP 变量插值（支持普通变量与数组语法）

本文介绍一种轻量、可控的 php 方案，通过正则匹配与回调函数解析外部 sql 文件中的 `{$var}` 和 `{$arr[0]}` 类型占位符，并安全替换为对应变量值，避免直接拼接导致的 sql 注入风险。

在 PHP 中，双引号字符串支持复杂（花括号）语法插值（如 "Hello {$user->name}"），但该机制仅对内联字符串生效——一旦 SQL 语句从外部文件（如 .sql）读取，它就变成纯文本，PHP 不会自动执行变量解析。你遇到的问题正是如此：'SELECT ... WHERE msgid=\'{$arg[1]}\' ' 中的 {$arg[1]} 并未被求值，而是原样传给 PostgreSQL，导致查询条件恒为字面量 {$arg[1]}，自然无法匹配数据。

直接使用 eval() 或 create_function() 解析字符串极其危险，且违背最小权限原则；而 pg_query_params() 虽安全，却要求参数与 SQL 结构强耦合（需提前知道占位符数量与类型），难以适配“每行 SQL 动态含不同变量”的场景。

✅ 推荐方案：白名单式正则插值 + 显式作用域控制
我们不依赖 PHP 的动态变量解析（如 ${$name}），而是用 preg_replace_callback() 精确捕获 {$var} 和 {$arr[index]} 模式，并在受控回调中查表替换：

// 预定义可被插值的变量（显式声明，杜绝任意变量访问）
$allowedVars = [
    'bar' => 'VALUE-A',
    'arg' => ['VALUE-B', 'VALUE-C'], // $arg[0], $arg[1]...
];

function interpolate($matches) use ($allowedVars) {
    $varName = $matches[1];
    $index   = $matches[2] ?? null;

    // 严格校验变量名是否在白名单中
    if (!isset($allowedVars[$varName])) {
        return 'NULL'; // 或抛出异常：throw new InvalidArgumentException("Unsafe var: $varName");
    }

    $value = $allowedVars[$varName];

    // 处理数组访问：$arg[1]
    if ($index !== '' && is_array($value)) {
        return $value[(int)$index] ?? 'UNDEF';
    }

    // 处理普通变量：$bar
    return is_scalar($value) ? $value : 'UNDEF';
}

// 读取并插值 SQL 行
$fh = fopen('/home/www/KPI-Summary.sql', 'r') or die('Failed to open SQL file');
$dbh = pg_connect($connect) or die('DB connection failed: ' . pg_last_error());

$j = 0;
while (($line = fgets($fh)) !== false) {
    // 关键：安全插值（仅支持 $var 和 $arr[N]，不支持嵌套或对象链）
    $line = preg_replace_callback(
        '/\{\$([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*)\[(\d+)\]\}|' .
        '\{\$([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*)\}/',
        function ($m) use ($allowedVars) {
            if (isset($m[1], $m[2])) { // 匹配 $arr[N] 形式
                return interpolate(['', $m[1], $m[2]]);
            }
            if (isset($m[3])) { // 匹配 $var 形式
                return interpolate(['', $m[3], '']);
            }
            return '';
        },
        $line
    );

    $result = pg_query($dbh, $line);
    if (!$result) {
        trigger_error("SQL error on line: " . htmlspecialchars($line), E_USER_WARNING);
        continue;
    }

    // 处理结果...
    $tmp[$j][2] = [];
    while ($row = pg_fetch_row($result)) {
        $tmp[$j][2][] = $row;
    }
    $j++;
}
fclose($fh);

? 正则说明：

• \$([a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*) → 匹配合法 PHP 变量名（支持 Unicode）
• \[(\d+)\] → 仅匹配数字索引（拒绝 $arr[foo] 或 $arr[]）
• 使用 | 分隔两个模式，确保优先匹配带索引的格式

⚠️ 重要注意事项：

• 绝不将用户输入放入 $allowedVars —— 所有可插值变量必须由开发者显式定义、静态初始化；
• 禁止插值 SQL 关键字或结构（如表名、列名），此方案仅适用于 WHERE 值 类场景；
• 若需更高安全性，应改用 pg_query_params() + 解析 SQL 占位符（如 :arg1），再映射到 $allowedVars，实现完全参数化；
• 生产环境建议添加日志记录插值前后的 SQL 行，便于审计。

总结：外部 SQL 文件的变量插值需放弃“自动解析”幻想，转而采用显式白名单 + 正则受限匹配 + 回调安全求值三重保障。这虽增加少量代码，却换来可维护性与安全性——远胜于 eval() 或字符串拼接的“方便陷阱”。