代码之家  ›  专栏  ›  技术社区  ›  aronchick

正则表达式攻击向量?

security regex ruby ruby-on-rails
  •  2
  • aronchick  · 技术社区  · 15 年前

    在Ruby中,如何将变量“参数化”输入regex?例如,我正在执行以下操作: 

    q = params[:q]
all_values.collect { | col | [col.name] if col.name =~ /(\W|^)#{q}/i }.compact

    因为它(q)是来自不受信任源(查询字符串)的变量,所以我必须假设它可能是攻击向量。这里有什么最佳实践吗?

    2 回复  |  直到 15 年前
        1
  •  3
  •   Brian Campbell Dennis Williamson    15 年前

    尝试 Regexp.escape : 

    >> Regexp.escape('foo\bar\baz$+')
=> "foo\\\\bar\\\\baz\\$\\+"

    所以您的代码看起来像: 

    q = params[:q]
re = Regexp.escape(q)
all_values.collect { | col | [col.name] if col.name =~ /(\W|^)#{re}/i }.compact
        2
  •  2
  •   Alex Brasetvik    15 年前

    那么,您希望用户能够提供任意的正则表达式,还是只提供一些可以引用的文本?如果用户既可以提供正则表达式,也可以提供将尝试与之匹配的文本,那么通过提供具有指数运行时的表达式来进行DoS攻击并不困难。

    推荐文章
    DotFX  ·  RegEx捕获关键字前但括号后的所有内容
    4 月前
    user66001  ·  正则表达式用于匹配有引号和无引号的文本,并且不匹配任何部分
    4 月前
    perlchamp  ·  为什么这也匹配?
    4 月前
    con  ·  Negative Lookaward在perl正则表达式中不起作用
    4 月前
    Andrus  ·  如何在sql中查找第二个匹配项
    4 月前
    iato  ·  确保正则表达式不从命名材料中的数字中提取
    5 月前
    vr8ce  ·  非成对标记中特定字符的正则表达式
    5 月前
    MARTIN  ·  交换第一个和最后一个单词,反转所有中间的字符
    5 月前
    Carsten  ·  使用最近的搜索模式更改文本块
    5 月前
    Eric Marceau  ·  Grep:有没有一种特殊的方法可以将“无字符”作为“字符位置”匹配的置换?
    5 月前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号