Fli*_*mzy 4 regex perl code-injection
这个答案解释了要验证任意正则表达式,只需使用eval:
while (<>) {
eval "qr/$_/;"
print $@ ? "Not a valid regex: $@\n" : "That regex looks valid\n";
}
然而,这让我感到非常不安全,因为我希望这是显而易见的原因.有人可以输入,说:
富/; system('rm -rf /'); QR /
或者他们可以设计的任何狡猾的计划.
防止这种事情的自然方法是逃避特殊字符,但如果我逃避了太多字符,我首先严重限制了正则表达式的用处.我相信,可以做出一个强有力的论据,即在[]{}()/-,.*?^$!用户正则表达式界面中,至少和空白字符应该被允许(可能是其他的),未转义,因为正则表达式具有最小的实用性.
是否有可能在不限制正则表达式语言有用性的情况下保护自己不受正则表达式注入的影响?
解决方案只是改变
eval("qr/$_/")
至
eval("qr/\$_/")
这可以写得更清楚如下:
eval('qr/$_/')
但那仍然不是最佳的.以下内容会更好,因为它不涉及在运行时生成和编译Perl代码:
eval { qr/$_/ }
请注意,这两种解决方案都不能保护您免受拒绝服务攻击.编写一个比宇宙生命需要更长时间才能完成的模式非常容易.为了解决这种情况,您可以在ulimit已设置CPU的子级中执行正则表达式匹配.