3
是否可以直接從用戶提供的查詢中創建Regexp對象,還是需要先對它進行驗證?文檔沒有多少說明。ruby中的Regexp.new(user_input)是否安全?
A
回答
0
聽起來不太好,如果你允許創建任何正則表達式可能是不安全的(可能導致DOS),因爲正則表達式可以是CPU密集型。
我會避免給我的客戶自由地創建自己的正則表達式。
https://www.owasp.org/index.php/Regular_expression_Denial_of_Service_-_ReDoS
相關問題
- 1. Ruby類方法是否線程安全?
- 2. 在Windows XP上安裝ActiveScriptRuby是否安全(標準)Ruby 1.9.2
- 3. ConcurrentHashMap是否完全安全?
- 4. Context.MODE_PRIVATE是否安全?
- 5. const_cast是否安全?
- 6. BrowserID是否安全?
- 7. Locale.setDefault()是否安全?
- 8. Titanium.App.Properties是否安全
- 9. AfxBeginThread是否安全?
- 10. signed_request是否安全?
- 11. PhoneGap是否安全?
- 12. Redux是否安全?
- 13. session_set_cookie_params是否安全?
- 14. Ruby中的安全執行
- 15. Ruby中`JSON.parse()`的安全性?
- 16. 全局Ruby變量中的局部變量是否線程安全?
- 17. python:未定義全局名'user_input'
- 18. 「safe_eval」是否真的安全?
- 19. Android中的java.util.Observable是否線程安全?
- 20. MyBatis中的selectKey線程是否安全?
- 21. AutoMapper中的Mapper.Map是否線程安全?
- 22. HTTPS連接中的Cookie是否安全?
- 23. Java中的HashMap是否安全碰撞
- 24. DDD中的域安全是否存在?
- 25. Yii2中的$ model-> load()是否安全?
- 26. mailx與uuencode是否安全,如果不是安全的方式
- 27. ruby Array.sample是否可以安全地生成密碼?
- 28. Python |跳過USER_INPUT
- 29. JWT與RS256是否安全?
- 30. 是否Box.add()線程安全?
我知道這個問題的,而我的包裹'timeout'塊搜索。我只是想知道是否有任何代碼注入或此類問題。 – taw