显然,它不能用于删除索引或破解卡号,密码等(除非一个愚蠢到足以将卡号或密码放在索引中).
是否有可能通过过于复杂的搜索来关闭服务器?
我想我真正需要知道的是,我是否可以将用户输入的Lucene查询直接传递给搜索引擎而无需进行清理,并且可以避免恶意.
无法从查询解析器的输入修改索引.但是,有几件事可能会损害运行Lucene的搜索服务器:
Lucene将hits置于优先级队列中以对它们进行排序(使用优先级队列大小的后备数组实现).因此,运行从偏移99 999 900获取结果到偏移100 000 000的请求将使服务器为此优先级队列分配几百兆字节.并行运行此类几个查询可能会使服务器内存不足.
对字段进行排序需要加载此字段的字段缓存.除了花费大量时间之外,此操作将使用大量内存(特别是在具有大量不同值的文本字段上),并且在加载此缓存的索引读取器之前,将不会回收此内存.不再使用了.
有些查询比其他查询更昂贵.为了防止查询执行花费太长时间,Lucene已经有一些防范过于复杂的查询:默认情况下,BooleanQuery不能超过1024个子句.
其他查询(如通配符查询和模糊查询)也非常昂贵.
为防止用户损害您的搜索服务,您应该决定允许他们做什么以及不做什么.例如,Twitter(使用Lucene作为其搜索后端)用于将查询限制为几个子句,以确保在合理的时间内提供响应.(这个问题Twitter api - 搜索太复杂了?谈论这个限制)