我正在为朋友的心理调查项目创建一个简单的Ruby on Rails调查应用程序。 所以我们有调查,每个调查都有一堆问题,每个问题都有参与者可以选择的选项之一。没什么好激动的。
其中一个有趣的方面是每个答案选项都有一个与之相关的分数值。 因此,对于每项调查,总分需要根据这些值进行计算。
现在我的想法是代替硬编码计算,允许用户添加一个公式,通过该公式计算总调查分数。示例公式:
"Q1 + Q2 + Q3"
"(Q1 + Q2 + Q3) / 3"
"(10 - Q1) + Q2 + (Q3 * 2)"
所以只是基本的数学(为了清晰起见,附加一些括号)。我们的想法是保持公式非常简单,这样任何拥有基本数学的人都可以输入它们,而无需解析某些花哨的语法。
我的想法是采用任何给定的公式,并将Q1,Q2等占位符替换为参与者选择的得分值。然后eval()新形成的字符串。像这样:
f = "(Q1 + Q2 + Q3) / 2" # some crazy formula for this survey
values = {:Q1 => 1, :Q2 => 2, :Q3 => 2} # values for substitution
result = f.gsub(/(Q\d+)/) {|m| values[$1.to_sym] } # string to be eval()-ed
eval(result)
所以我的问题是:
有更好的方法吗? 我愿意接受任何建议。
如何处理不是全部的公式
占位符被成功替换(例如一个
问题没有回答)?例如:{:Q2 => 2}不是
在值哈希?我的想法是拯救eval(),但在这种情况下它不会失败因为(1 + + 2) / 2仍然可以eval() - 编辑...任何想法?
如何获得正确的结果?应该是2.5,但是由于整数运算,它将截断为2.我不能指望提供正确公式(例如/ 2.0)的人理解这种细微差别。
我不指望这个,但如何
最好地保护eval()免受滥用(例如
糟糕的公式,操纵的价值观
进来)?示例:f = 'system("ruby -v"); (Q1 + (Q2 / 3) + Q3 + (Q4 * 2)) / 2 '
谢谢!
答案 0 :(得分:5)
我通常会克隆formula变量,但在这种情况下,因为你担心一个恶意用户我清理了变量:
class Evaluator
def self.formula(formula, values)
# remove anything but Q's, numbers, ()'s, decimal points, and basic math operators
formula.gsub!(/((?![qQ0-9\s\.\-\+\*\/\(\)]).)*/,'').upcase!
begin
formula.gsub!(/Q\d+/) { |match|
(
values[match.to_sym] &&
values[match.to_sym].class.ancestors.include?(Numeric) ?
values[match.to_sym].to_s :
'0'
)+'.0'
}
instance_eval(formula)
rescue Exception => e
e.inspect
end
end
end
f = '(q1 + (q2 / 3) + q3 + (q4 * 2))' # some crazy formula for this survey
values = {:Q2 => 1, :Q4 => 2} # values for substitution
puts "formula: #{f} = #{Evaluator.formula(f,values)}"
=> formula: (0.0 + (1.0 / 3) + 0.0 + (2.0 * 2)) = 4.333333333333333
f = '(Q1 + (Q2 / 3) + Q3 + (Q4 * 2)) / 2' # some crazy formula for this survey
values = {:Q1 => 1, :Q3 => 2} # values for substitution
puts "formula: #{f} = #{Evaluator.formula(f,values)}"
=> formula: (1.0 + (0.0 / 3) + 2.0 + (0.0 * 2)) / 2 = 1.5
f = '(Q1 + (Q2 / 3) + Q3 + (Q4 * 2)) / 2' # some crazy formula for this survey
values = {:Q1 => 'delete your hard drive', :Q3 => 2} # values for substitution
puts "formula: #{f} = #{Evaluator.formula(f,values)}"
=> formula: (0.0 + (0.0 / 3) + 2.0 + (0.0 * 2)) / 2 = 1.0
f = 'system("ruby -v")' # some crazy formula for this survey
values = {:Q1 => 'delete your hard drive', :Q3 => 2} # values for substitution
puts "formula: #{f} = #{Evaluator.formula(f,values)}"
=> formula: ( -) = #<SyntaxError: (eval):1: syntax error, unexpected ')'>
答案 1 :(得分:4)
这可能不值得,但如果我这样做,我会使用Treetop来定义解析语法。甚至有一些例子可以使用像这样的PEG式语法来进行简单的算术运算,因此你将90%用于语法,并且大部分用于评估权重。
答案 2 :(得分:2)
您可以使用RubyParser来解释节点迭代的表达式,以检查是否存在任何危险代码,如函数调用。看:
require 'ruby_parser'
def valid_formula?(str, consts=[])
!!valid_formula_node?(RubyParser.new.process(str), consts)
rescue Racc::ParseError
false
end
def valid_formula_node?(node, consts)
case node.shift
when :call
node[1].to_s !~ /^[a-z_0-9]+$/i and
valid_formula_node?(node[0], consts) and
valid_formula_node?(node[2], consts)
when :arglist
node.all? {|inner| valid_formula_node?(inner, consts) }
when :lit
Numeric === node[0]
when :const
consts.include? node[0]
end
end
这只允许运算符,数字和特定常量。
valid_formula?("(Q1 + Q2 + Q3) / 2", [:Q1, :Q2, :Q3]) #=> true
valid_formula?("exit!", [:Q1, :Q2, :Q3]) #=> false
valid_formula?("!(%&$)%*", [:Q1, :Q2, :Q3]) #=> false
答案 3 :(得分:2)
使用Dentaku:
Dentaku是数学和逻辑公式语言的解析器和评估程序,允许将值运行时绑定到公式中引用的变量。它旨在安全地评估不受信任的表达式,而不会打开安全漏洞。
答案 4 :(得分:0)
Re 2)即使这很难看,你也可以创建一个带有默认值的Hash,并确保在调用to_s时失败(我确实说这很难看,对吧?):
>> class NaN ; def to_s; raise ArgumentError ; end; end #=> nil
>> h = Hash.new { NaN.new } #=> {}
>> h[:q1] = 12 #=> 12
>> h[:q1] #=> 12
>> h[:q2]
ArgumentError: ArgumentError
重新3)确保计算中至少有一个浮点数。最简单的方法是在替换期间将所有提供的值转换为浮点数:
>> result = f.gsub(/(Q\d+)/) {|m| values[$1.to_sym].to_f } #=> "(1.0 + 2.0 + 2.0) / 2"
>> eval result #=> 2.5
重新4)您可能想要阅读$SAFE。 “Pickaxe”实际上包含一个关于eval在网络表单中输入的内容的示例:
http://ruby-doc.org/docs/ProgrammingRuby/html/taint.html
如果您真的想沿着eval路线前进,请不要忽视本次讨论中提供的替代方案。