【发布时间】:2012-09-04 23:50:03
【问题描述】:
我真的想不出来,但是允许用户运行任意正则表达式会不会有恶意?
例如,假设我有一个网站,人们可以在该网站上尝试对一段文本进行正则表达式 - 有什么我必须以与 SQL 语句相同的方式“清理”的内容吗?
【问题讨论】:
我真的想不出来,但是允许用户运行任意正则表达式会不会有恶意?
例如,假设我有一个网站,人们可以在该网站上尝试对一段文本进行正则表达式 - 有什么我必须以与 SQL 语句相同的方式“清理”的内容吗?
【问题讨论】:
一些正则表达式的计算可能非常复杂和/或需要大量内存,并且运行其中许多可能会降低性能或导致拒绝服务。
【讨论】:
Perl 正则表达式可以执行任意代码sn-ps。即使没有该功能,恶意正则表达式也可能耗尽您服务器上的所有 CPU/RAM。
【讨论】:
【讨论】: