3
是否可以直接從用戶提供的查詢中創建Regexp
對象,還是需要先對它進行驗證?文檔沒有多少說明。ruby中的Regexp.new(user_input)是否安全?
是否可以直接從用戶提供的查詢中創建Regexp
對象,還是需要先對它進行驗證?文檔沒有多少說明。ruby中的Regexp.new(user_input)是否安全?
聽起來不太好,如果你允許創建任何正則表達式可能是不安全的(可能導致DOS),因爲正則表達式可以是CPU密集型。
我會避免給我的客戶自由地創建自己的正則表達式。
https://www.owasp.org/index.php/Regular_expression_Denial_of_Service_-_ReDoS
我知道這個問題的,而我的包裹'timeout'塊搜索。我只是想知道是否有任何代碼注入或此類問題。 – taw