2
在Ruby中如何“参数化”变量输入到正则表达式?例如,我做了以下内容:正则表达式攻击矢量?
q = params[:q]
all_values.collect { | col | [col.name] if col.name =~ /(\W|^)#{q}/i }.compact
由于它(#{Q})是来自不受信任的来源(查询字符串)的变量,我必须假设它可能是一个攻击向量。这里有什么最佳实践?
A
回答
3
>> Regexp.escape('foo\bar\baz$+')
=> "foo\\\\bar\\\\baz\\$\\+"
所以,你的代码看起来是这样的:
q = params[:q]
re = Regexp.escape(q)
all_values.collect { | col | [col.name] if col.name =~ /(\W|^)#{re}/i }.compact
+0
完美,谢谢! – aronchick 2009-12-23 23:26:26
2
那么,你想让用户能够提供一个任意的正则表达式,或只是一些文字文本,肯定可以引用?如果用户既可以提供正则表达式又可以提供匹配的文本,通过提供具有指数运行时的表达式来执行DoS攻击并不困难。
相关问题
- 1. 矢量副本的正则表达式
- 2. 正则表达式匹配来识别易受攻击代码
- 3. 击:正则表达式
- 4. 正则表达式在javascript - 正则表达式中的变量
- 5. 正则表达式(正则表达式)
- 6. 正则表达式(正则表达式)
- 7. 正则表达式正则表达式正则表达式使用正则表达式,但不是与Python
- 8. PHP-MySQLi替换为正则表达式/正则表达式/正则表达式
- 9. 正则表达式正则表达式返回的值正则表达式
- 10. 正则表达式正则表达式模仿正则表达式
- 11. 增量式正则表达式filterer
- 12. 正则表达式突击测验:d
- 13. 击:编辑使用正则表达式
- 14. 正则表达式表达
- 15. 正则表达式表达
- 16. Python的正则表达式:“喜欢”正则表达式模式?
- 17. 正则表达式
- 18. 正则表达式
- 19. 正则表达式?
- 20. 正则表达式
- 21. 正则表达式
- 22. 正则表达式
- 23. 正则表达式。
- 24. 正则表达式
- 25. 正则表达式
- 26. 正则表达式@#$ +:=&* _-
- 27. 正则表达式
- 28. 正则表达式
- 29. 正则表达式
- 30. 正则表达式
确实红宝石有'\ Q ... \ E'? – 2009-12-23 21:17:57
把它关掉你的服务器,并在JavaScript中执行它。 – 2009-12-23 21:23:14
+1考虑到用户提供的正则表达式可能是一种代码注入形式。 – sleske 2009-12-23 23:39:24