PHP - это безопасный способ разрешить пользовательские регулярные выражения

Я хотел бы разрешить отправлять для тестирования небольшие пользовательские регулярные выражения. Тем не менее, есть много проблем, которые нужно учитывать, от использования убегающего сервера до большего зла eval() использование.

Насколько мне известно, я решил все проблемы, о которых мог подумать в следующем коде. Есть ли у них какие-нибудь векторы атаки, о которых я не думал? (Довольно наивный вопрос, который я знаю)

function testRegex($regex)
{
    // null character allows a premature regex end and "/../e" injection
    if (strpos($regex, 0) !== false || ! trim($regex)) {
        return false;
    }

    $backtrack_limit = ini_set('pcre.backtrack_limit', 200);
    $recursion_limit = ini_set('pcre.recursion_limit', 20);

    $valid = @preg_match("~$regex~u", null) !== false;

    ini_set('pcre.backtrack_limit', $backtrack_limit);
    ini_set('pcre.recursion_limit', $recursion_limit);

    return $valid;
}


$regexes = array(
    "InvalidRegular)Expression",
    '',
    '\w+',
    '\/\w+/',
    'foo[bar]*',
    '\/\x00known/e' . chr(0x00) . chr(0),
    'known~e' . chr(0),
    'known~e' . chr(0x00),
    '[a-z]+',
    '\p{Lu}+',
);


foreach($regexes as $regex) {
    var_dump($regex, testRegex($regex));
}

Если вы хотите увидеть пример null-byte инъекции:

$user_regex = '.+~e' . chr(0);
$user_match = 'system("whoami")';

var_dump(preg_replace("~$user_regex~u", $user_match, 'foo'));