我想在我的网站上添加一项功能,让用户使用RegEx搜索文本。但是,让用户做这样的事情是否安全?
preg_match('/' . $user_input_regex . '/', $subject);
答案 0 :(得分:12)
此代码可能存在攻击,称为ReDoS attack(正则表达式拒绝服务)。
正则表达式拒绝服务(ReDoS)是一种拒绝服务攻击,它利用了大多数正则表达式实现可能达到导致它们工作非常缓慢(与输入大小呈指数级相关)的极端情况的事实。然后,攻击者可以使用正则表达式导致程序进入这些极端情况,然后挂起很长时间。
特别是preg_match,known issue会导致PHP分段错误。
所以答案是否定的,因为这些问题不安全。
答案 1 :(得分:4)
安全方面,您永远不应该信任用户输入,因此它取决于您对输入的处理方式。在您给定的情况下,您应该至少转义用户输入中使用的分隔符(反斜杠)以确保正则表达式正常工作。