使用用户的RegEx是否安全?

时间:2014-07-19 14:00:45

标签: php regex preg-match user-input code-injection

我想在我的网站上添加一项功能,让用户使用RegEx搜索文本。但是,让用户做这样的事情是否安全?

preg_match('/' . $user_input_regex . '/', $subject);

2 个答案:

答案 0 :(得分:12)

此代码可能存在攻击,称为ReDoS attack(正则表达式拒绝服务)。

  

正则表达式拒绝服务(ReDoS)是一种拒绝服务攻击,它利用了大多数正则表达式实现可能达到导致它们工作非常缓慢(与输入大小呈指数级相关)的极端情况的事实。然后,攻击者可以使用正则表达式导致程序进入这些极端情况,然后挂起很长时间。

特别是preg_matchknown issue会导致PHP分段错误。

所以答案是否定的,因为这些问题不安全。

答案 1 :(得分:4)

安全方面,您永远不应该信任用户输入,因此它取决于您对输入的处理方式。在您给定的情况下,您应该至少转义用户输入中使用的分隔符(反斜杠)以确保正则表达式正常工作。