1

我真的想不出,但是允许用户运行任意正则表达式会不会有恶意?

例如,假设我有一个网站,人们可以在其中试用一段文本的正则表达式——有什么我必须以与 SQL 语句相同的方式“清理”的内容吗?

4

3 回答 3

2

一些正则表达式的计算可能非常复杂和/或需要大量内存,并且运行其中的许多可能会降低性能或导致拒绝服务。

于 2012-09-05T00:12:35.803 回答
1

Perl 正则表达式可以执行任意代码片段。即使没有该功能,恶意正则表达式也可能会耗尽服务器上的所有 CPU/RAM。

于 2012-09-04T23:57:10.940 回答
0

https://www.owasp.org/index.php/Regular_expression_Denial_of_Service_-_ReDoS

于 2012-09-05T13:34:55.257 回答