PHP 表达式注入（非模板）审计（php-expr-audit）

分析 PHP 项目源码，识别“表达式求值/编译”入口点：用户可控表达式字符串被传入表达式引擎（或 PHP 语言级代码执行函数），从而改变条件判断、路由决策、权限表达式或执行敏感语义（Expression Injection/代码注入类）。

分级与编号

• 详见：shared/SEVERITY_RATING.md
• 漏洞编号：{C/H/M/L}-EXPR-{序号}

EXPR Sink（必做）

识别表达式引擎的求值/编译入口点（优先），以及 PHP 语言级“字符串即代码”的执行函数：

• ExpressionLanguage->evaluate({value})
• ExpressionLanguage->compile({value}) 后续的执行/求值使用点
• eval($code)（当 $code 可由用户控制时）
• assert($assertion)（当 $assertion 为字符串且可由用户控制时）
• preg_replace({value}, $replacement, {value}) 中使用 deprecated 的 /e 修饰符（当 replacement 可控时）
• 以及等价的“表达式解析/求值”引擎（项目封装的 evaluate/parse/compile 方法，只要最终把表达式字符串作为输入）

必检证据点（必做，trace 契约对齐）

每条 EXPR 疑似漏洞必须逐项引用 php-route-tracer trace 中 ## 9) Sink Evidence Type Checklist 的 EXPR 行对应证据点 ID：