javascript 评估用户提交的简单数学node.js

发布于 2024-11-08 15:30:56 字数 219 浏览 0 评论 0原文

我需要评估一些简单的用户提交的数学。例如，2 个数字的乘法。

这让我很容易受到注入攻击。

我的计划是将一堆值 [^|(|)|\d+|\*|\/|\+|-] 列入白名单，并在评估之前用正则表达式替换其他所有内容。

这有什么问题吗？

示例字符串：

324*32
(5+4-17) / 3

原文

I need to evaluate some simple user submitted math. Multiplication of 2 numbers for example.

This opens me up to injection attacks.

My plan is to whitelist a bunch of values [^|(|)|\d+|\*|\/|\+|-] and replace everything else with regex before evaluation.

Any problems with this?

Example strings:

324*32
(5+4-17) / 3

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

情愿 2024-11-15 15:30:56

我想不出任何特别令人讨厌的方法来仅使用数字和少数运算符来过多地搞乱您的服务器，但是，您需要注意一些事情：

鉴于 [^... ] 是一个字符类，您不需要用 | 分隔每个值。这可能是您真正想要的：[^^()\d*\/+-]。这将匹配您不想要允许的一切。

此外，重要的是要记住，在 JavaScript 中，^ 并不代表幂，而是代表“异或”。例如，这意味着 2 ^ 3 == 1。因此，您可能不想将 ^ 列入白名单：[^()\d*\/+-]。

您可能会遇到像 (1 * (2 + 3) 这样的无效语法，因此您也应该注意这一点。您可能只需要一个 try catch 块并有意义地处理类似的事情（报告将问题返回给用户或其他）。

回复收藏 0 原文

~没有更多了~

关于作者

梨涡少年

暂无简介

0 文章

0 评论

22 人气

关注发私信

qq_Yqvrrd

文章 0 评论 0

关注

2503248646

文章 0 评论 0

关注

浮生未歇

文章 0 评论 0

关注

养猫人

文章 0 评论 0

关注

第七度阳光i

文章 0 评论 0

关注

新雨望断虹

文章 0 评论 0

友情链接

文江博客

javascript 评估用户提交的简单数学node.js

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（1）

关于作者

相关话题

热门标签