答案很简单：使用preg_replace_callback()（它不依赖于eval的用户代码）。这是PHP 5.5在使用/e时建议您执行的操作。

$str = 'CAPS';
$str = preg_replace_callback('/[A-Z]/', function($match) { return strtolower($match[0]); }, $str);
echo $str;

使用preg_quote引用正则表达式字符：
http://php.net/manual/en/function.preg-quote.php
您通常希望添加分隔符作为第二个参数。
例如

$q = $_GET['q'];
$q = preg_quote($q, "/");
$replaced = preg_replace("/" . $q . "/", "42", "The quick brown fox jumps over the lazy dog");

您应该使用Prepared Patterns-有点像SQL中的预处理语句-它们可以保护您免受任何类型的模式/输入

<?php
$unsafe = $_GET['value'];
$pattern = Pattern::inject("(start|begin)@(end|finish)+", [$unsafe]]);

然后用这个模式

$pattern->match($something);

只读取字母，忽略特殊字符：

public void run（$var）{

$var= preg_replace("/[-[\]{}()*+?.,\\^<>&!@#$%^&\/':\";*()_+=$|#]/","",$var);

        return $var;
     }

这只读取数字，忽略特殊字符：
public void run（$var）{

$var= preg_replace("/[^0-9]/","",$var);
        return $var;
     }

例如如何使用上述功能，
$pure_id=sanitize_number（$_GET['id']）;