Ram*_*hum 7 python regex security
假设我想让用户输入他想要的正则表达式,以及要匹配的字符串,我将使用Python检查它是否匹配re.compile.这样安全吗?有没有办法让恶意用户通过传入特制的字符串来崩溃或获得远程执行?
re.compile
Tim*_*ker 9
我认为这不会re.compile()成为一个问题.当然它可以抛出无效正则表达式的异常,但你可以很容易地捕获它们.Python正则表达式不允许代码调用(例如,与Perl不同),因此我没有看到攻击者可以使用的机制将恶意代码注入正则表达式.
re.compile()
实际上运行正则表达式(通过re.search()等)可能是一个问题,因为Python没有采取任何预防措施来防止可能导致正则表达式运行时飙升的灾难性回溯.
re.search()
在一个专用的进程中运行正则表达式可能是个好主意,如果它在一秒左右内没有完成,那就杀掉它.
归档时间:
11 年,3 月 前
查看次数:
489 次
最近记录: