15
我想添加一個功能到我的網站,讓用戶搜索文本RegEx。但是,讓用戶做這樣的事情安全嗎?使用用戶的RegEx安全嗎?
preg_match('/' . $user_input_regex . '/', $subject);
A
回答
12
對此代碼有一個可能的攻擊,稱爲ReDoS attack(正則表達式拒絕服務)。
的服務(重做操作)正則表達式否認是拒絕服務攻擊,它利用了大多數正則表達式實現可能會達到導致他們的工作非常緩慢(指數相關輸入尺寸)的極端情況。然後攻擊者可以使用正則表達式導致程序進入這些極端情況,然後掛起很長時間。
具體與preg_match有一個known issue可能導致PHP分段錯誤。
所以答案是否定的,因爲諸如這些問題而不安全。
+0
1.使用ReDoS,攻擊者只能放慢服務器速度,但除此之外無法造成任何損害,對吧? –
+0
2.請求內存超過內存限制後,PHP不會「出去」?我的意思是:我是否可以通過減少內存限制來防止問題發生,並且不會一次允許太多搜索? –
+1
@SdgsdgAsgasgf:1)除了讓你的服務器對所有請求沒有反應,沒有。 2)有[可能是段錯誤的解決方法](http://php.net/manual/en/function.preg-match.php#88587)。 – SilverlightFox
4
安全明智,你永遠不要信任用戶輸入,所以它取決於你對輸入做什麼。在給定的情況下,您至少應該跳過用戶輸入中使用的分隔符(反斜槓)以確保正則表達式正常工作。
相關問題
- 1. 是std :: regex線程安全嗎?
- 2. Drupal 7:使用「全球$用戶」安全嗎?
- 3. 使用javascript sha1安全嗎?
- 4. 使用SET ROWCOUNT安全嗎?
- 5. 要使用shared_ptr,安全嗎?
- 6. 使用代理安全嗎?
- 7. 使用MD5不安全嗎?
- 8. 使用Capistrano安全嗎?
- 9. 使用Parse.Object.attributes安全嗎?
- 10. 使用window.screen安全嗎?
- 11. 使用ComputedProperty安全嗎?
- 12. 使用RESTful API - 安全嗎?
- 13. 使用cstdarg安全嗎?
- 14. 使用ASIHTTPRequest的「用戶名」和「密碼」屬性安全嗎?
- 15. 單字母用戶名不安全嗎?
- 16. 使用c:redirect重定向用戶瀏覽器安全嗎?
- 17. 爲mongodb使用root用戶不安全嗎?
- 18. 使用隱藏輸入檢索用戶數據安全嗎?
- 19. 用戶代碼可以安全地使用struct padding嗎?
- 20. 使用GET變量檢查用戶登錄會話安全嗎?
- 21. 使用用戶輸入作爲key_name安全嗎?
- 22. 使用esp下的堆棧安全嗎?
- 23. 使用paypal html api是安全的嗎?
- 24. 使用ThreadPool.RegisterWaitForSingleObject的事件安全嗎?
- 25. 這是安全使用不安全的協議嗎?
- 26. 登錄用戶的firebase用戶安全
- 27. 使用Regex的CakePHP用戶名URL?
- 28. 使用戶輸入安全的XML
- 29. 安全的用戶輸入
- 30. 安全用戶在Rails的
您可能需要使用[preg_quote()](http://www.php.net/manual/en/function.preg-quote.php)將其轉義,並且不容易捕獲錯誤優雅地如果用戶輸入是格式不正確的正則表達式 –
@MarkBaker但是,如果我通過preg_quote()轉義RegEx字符RegEx不會工作 –
個人而言,該代碼對我來說看起來很好。我不是專家,但是這個命令不能編輯任何東西......他們能做的最糟糕的事情就是讓你搞砸了結果。但是,如果您正在運行來自不同用戶的RegEx,則情況會有所不同。 –