是否将用户输入直接传递给java.util.regex.Pattern java.util.regex.Matcher安全使用的Cities view
-> _cities.html.erb
-> update_city.js.coffee
?
如果没有,为什么?它会创建无限循环或指数计算吗?如果是这样,还有其他选择吗?
答案 0 :(得分:1)
Regexp永远不会安全。就个人而言,我不会使用它们如果我真的不需要。有人可以构建一个Regexp,需要花费很长时间才能检查或者会使系统崩溃。
这里可以找到一些额外的阅读: http://www.regular-expressions.info/catastrophic.html
我想不出一个用例可以让用户将正则表达式传递给你的服务器。