标签: regex security
我真的想不出任何问题,但是允许用户运行任意正则表达式会有恶意影响吗?
例如,假设我有一个人们可以在一个文本块上试用正则表达式的网站 - 我是否有必要以与SQL语句相同的方式“清理”?
答案 0 :(得分:2)
某些正则表达式在计算上可能非常复杂和/或需要大量内存,并且运行其中许多可能会降低性能或导致拒绝服务。
答案 1 :(得分:1)
Perl正则表达式可以执行任意代码片段。即使没有该功能,恶意正则表达式也可能耗尽服务器上的所有CPU / RAM。
答案 2 :(得分:0)
https://www.owasp.org/index.php/Regular_expression_Denial_of_Service_-_ReDoS