2
在Ruby中如何「參數化」變量輸入到正則表達式?例如,我做了以下內容:正則表達式攻擊矢量?
q = params[:q]
all_values.collect { | col | [col.name] if col.name =~ /(\W|^)#{q}/i }.compact
由於它(#{Q})是來自不受信任的來源(查詢字符串)的變量,我必須假設它可能是一個攻擊向量。這裏有什麼最佳實踐?
A
回答
3
>> Regexp.escape('foo\bar\baz$+')
=> "foo\\\\bar\\\\baz\\$\\+"
所以,你的代碼看起來是這樣的:
q = params[:q]
re = Regexp.escape(q)
all_values.collect { | col | [col.name] if col.name =~ /(\W|^)#{re}/i }.compact
+0
完美,謝謝! – aronchick 2009-12-23 23:26:26
2
那麼,你想讓用戶能夠提供一個任意的正則表達式,或只是一些文字文本,肯定可以引用?如果用戶既可以提供正則表達式又可以提供匹配的文本,通過提供具有指數運行時的表達式來執行DoS攻擊並不困難。
相關問題
- 1. 矢量副本的正則表達式
- 2. 正則表達式來攻克一批
- 3. 正則表達式匹配來識別易受攻擊代碼
- 4. 擊:正則表達式
- 5. 正則表達式(正則表達式)對於增量
- 6. 正則表達式在javascript - 正則表達式中的變量
- 7. Java UIMA:正則表達式中的正則表達式變量?
- 8. 正則表達式量詞
- 9. 正則表達式(正則表達式)
- 10. 正則表達式(正則表達式)
- 11. 正則表達式(正則表達式)
- 12. 使用正則表達式搜索矢量
- 13. 正則表達式正則表達式正則表達式使用正則表達式,但不是與Python
- 14. 正則表達式正則表達式返回的值正則表達式
- 15. 正則表達式正則表達式模仿正則表達式
- 16. PHP-MySQLi替換爲正則表達式/正則表達式/正則表達式
- 17. 增量式正則表達式filterer
- 18. 擊:編輯使用正則表達式
- 19. 正則表達式突擊測驗:d
- 20. 正則表達式表達
- 21. 正則表達式表達
- 22. 正則表達式表達
- 23. Java正則表達式組與。* vs正常正則表達式
- 24. python正則表達式使用變量代表表達式
- 25. 從正則表達式本身內使用正則表達式的變量,PHP
- 26. 當正則表達式比較時包含變量的正則表達式
- 27. 正則表達式來計算正則表達式中捕獲組的數量
- 28. 正則表達式(正則表達式) - 一個字符串變量長度
- 29. Nintex正則表達式模式正則表達式
- 30. 設置從正則表達式模式到正則表達式?
確實紅寶石有'\ Q ... \ E'? – 2009-12-23 21:17:57
把它關掉你的服務器,並在JavaScript中執行它。 – 2009-12-23 21:23:14
+1考慮到用戶提供的正則表達式可能是一種代碼注入形式。 – sleske 2009-12-23 23:39:24