Preg_match
El uso de expresiones regulares para realizar el reemplazo de cadenas se realiza con la función preg_replace(), y funciona de forma muy similar a preg_match(). Al igual que preg_match(), preg_replace() es sustancialmente más lenta que str_replace() para las operaciones básicas y debería evitarse cuando sea posible.
Preg_replace() toma una regex como primer parámetro, con lo que debe reemplazar cada coincidencia como parámetro dos, y la cadena con la que trabajar como tercer parámetro. El segundo parámetro es texto plano, pero puede contener $n para insertar el texto que coincide con la parte n de su regla regex. A menos que esté escribiendo regex complicadas de varias partes, querrá usar $0 para usar el texto coincidente, así:
Hay dos usos más para preg_replace() que son particularmente interesantes: en primer lugar, puede pasar arrays como parámetro uno y parámetro dos, y preg_match() realizará múltiples reemplazos en una sola pasada – lo veremos más adelante. La otra funcionalidad interesante es que puede instruir a PHP para que el texto coincidente sea ejecutado como código PHP una vez que el reemplazo haya tenido lugar. Considere este script:
Php str_replace
Un artículo reciente me recordó una oscura y peligrosa propiedad de la función preg_replace() de PHP que puede llevar a la ejecución de código en algunas circunstancias no tan poco comunes. Recientemente encontré un código vulnerable a este ataque en la naturaleza, así que pensé en hacer un rápido escrito para los pentesters y codificadores de PHP que pueden no estar familiarizados con el peligro.
El código tomará una expresión regular suministrada por el usuario y reemplazará lo que coincida con una cadena suministrada por el usuario. Así que si llamáramos preg_replace.php?replace=/Known/i&with=eaten, el script realizaría una búsqueda regex insensible a mayúsculas y minúsculas (el modificador i) y haría eco de Somewhere, algo increíble está esperando ser comido. Parece bastante seguro, ¿verdad?
El código anterior es vulnerable a la inyección de código, ya que no tiene en cuenta los peligrosos indicadores de modificación de PCRE en la cadena de entrada. La mayoría de los modificadores son bastante inofensivos y le permiten hacer cosas como búsquedas sin distinción de mayúsculas y minúsculas y de varias líneas, sin embargo un modificador, “e” hará que PHP ejecute el resultado de la operación preg_replace() como código PHP. Permítame repetirlo:
Preg_replace php
Porque busco mucho 4 esto:Lo siguiente debe ser escapado si usted está tratando de coincidir con ese carácter\ ^ . $ | ( ) [ ]* + ? { } ,Definiciones de caracteres especiales\ Citar el siguiente metacarácter^ Coincidir con el principio de la línea. Coincidir con cualquier carácter (excepto la nueva línea)$ Coincidir con el final de la línea (o antes de la nueva línea al final)| Alternancia() Agrupación[] Clase de caracteres* Coincidir 0 o más veces+ Coincidir 1 o más veces? Coincide 1 o 0 veces{n} Coincide exactamente n veces{n,} Coincide al menos n veces{n,m} Coinciden al menos n veces pero no más de m vecesMás caracteres especiales Tabulador (HT, TAB)\n Nueva línea (LF, NL)\r return (CR)\f form feed (FF)\a alarm (bell) (BEL)\e escape (think troff) (ESC)\033 octal char (think of a PDP- 11)\x1B carácter hexadecimal\c[ carácter de control\l minúscula siguiente carácter (piense en vi)\u mayúscula siguiente carácter (piense en vi)\L minúscula hasta \E (piense en vi)\U mayúscula hasta \E (piense en vi)\NModificación de mayúsculas y minúsculas finales (piense en vi)\Q comillas (deshabilite) metacaracteres de patrón hasta \NSiete caracteres más especiales\w Coinciden con un carácter de “palabra” (alfanumérico más “_”)\W Coinciden con un carácter no W Coinciden con un carácter que no es de palabra\S Coinciden con un carácter que no es de espacio en blanco\D Coinciden con un carácter que no es de dígito\B Coinciden con un límite de palabra\B Coinciden con un límite de no palabra\A Coinciden sólo al principio de la cadena\Z Coinciden sólo al final de la cadena, o antes de la nueva línea al final\z Coincide sólo al final de la cadena\G Coincide sólo donde lo dejó el anterior m//g (sólo funciona con /g)
Preg_replace conserva sólo los números
Porque busco mucho 4 esto:Lo siguiente debe ser escapado si está tratando de coincidir con ese carácter\ ^ . $ | ( ) [ ]* + ? { } ,Definiciones de caracteres especiales\ Citar el siguiente metacarácter^ Coincidir con el principio de la línea. Coincidir con cualquier carácter (excepto la nueva línea)$ Coincidir con el final de la línea (o antes de la nueva línea al final)| Alternancia() Agrupación[] Clase de caracteres* Coincidir 0 o más veces+ Coincidir 1 o más veces? Coincide 1 o 0 veces{n} Coincide exactamente n veces{n,} Coincide al menos n veces{n,m} Coinciden al menos n veces pero no más de m vecesMás caracteres especiales Tabulador (HT, TAB)\n Nueva línea (LF, NL)\r return (CR)\f form feed (FF)\a alarm (bell) (BEL)\e escape (think troff) (ESC)\033 octal char (think of a PDP- 11)\x1B carácter hexadecimal\c[ carácter de control\l minúscula siguiente carácter (piense en vi)\u mayúscula siguiente carácter (piense en vi)\L minúscula hasta \E (piense en vi)\U mayúscula hasta \E (piense en vi)\NModificación de mayúsculas y minúsculas finales (piense en vi)\Q comillas (deshabilite) metacaracteres de patrón hasta \NSiete caracteres más especiales\w Coinciden con un carácter de “palabra” (alfanumérico más “_”)\W Coinciden con un carácter no W Coinciden con un carácter que no es de palabra\S Coinciden con un carácter que no es de espacio en blanco\D Coinciden con un carácter que no es de dígito\B Coinciden con un límite de palabra\B Coinciden con un límite de no palabra\A Coinciden sólo al principio de la cadena\Z Coinciden sólo al final de la cadena, o antes de la nueva línea al final\z Coincide sólo al final de la cadena\G Coincide sólo donde lo dejó el anterior m//g (sólo funciona con /g)
