eval函数如何防shell注入

只能是过滤啊，但这东西归根结底还是不安全的，只能是你可以承担风险的情况下去用

归根结底就是不用eval，这个函数也不是无可替代的。楼主你说说，什么情况非得用eval?

不过输入可控，是公司内网运营平台才能进行配置

@虚妄

<?php

declare(strict_types=1);

use Symfony\Component\Process\Exception\ProcessFailedException;
use Symfony\Component\Process\Process;

require __DIR__ . '/vendor/autoload.php';

$process = new Process(['php', '-f', '/path/to/tmp.php']);

$process->run();

if (!$process->isSuccessful()) {
    throw new ProcessFailedException($process);
}

echo $process->getOutput();

可以试试这个包 symfony.com/doc/current/components... ，不过上手难度比较大