這篇文章主要介紹正則表達(dá)式中regex錯(cuò)誤使用導(dǎo)致功能漏洞的示例分析�����,文中介紹的非常詳細(xì)���,具有一定的參考價(jià)值���,感興趣的小伙伴們一定要看完����!
創(chuàng)新互聯(lián)專注于企業(yè)成都全網(wǎng)營(yíng)銷���、網(wǎng)站重做改版���、個(gè)舊網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)����、html5��、商城開(kāi)發(fā)�、集團(tuán)公司官網(wǎng)建設(shè)���、外貿(mào)網(wǎng)站建設(shè)���、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)���,價(jià)格優(yōu)惠性價(jià)比高���,為個(gè)舊等各大城市提供網(wǎng)站開(kāi)發(fā)制作服務(wù)。
正則表達(dá)式它的強(qiáng)大字符串匹配功能�,導(dǎo)致目前在各種程序語(yǔ)言中,都非常流行��!它被用來(lái)描述或者匹配一系列符合某個(gè)句法規(guī)則的字符串�。很多剛剛使用正則表達(dá)式都是從聽(tīng)說(shuō)這個(gè),然后在要使用時(shí)候去網(wǎng)上搜索�。 很少人一開(kāi)始就系統(tǒng)去學(xué)習(xí)正則表達(dá)式,從定義原理使用系統(tǒng)學(xué)習(xí)�。因?yàn)椋瑢?duì)應(yīng)初學(xué)者覺(jué)得它太麻煩了����,好多原字符����?��?吹侥敲撮L(zhǎng)一串字符���,就很頭痛。因此�����,也懶得去學(xué)習(xí)��。一般遇到問(wèn)題����,直接去網(wǎng)上搜索�。如:“郵箱正則表達(dá)式,手機(jī)號(hào)正則表達(dá)式��,url正則表達(dá)式…..” �����,我們發(fā)現(xiàn)一個(gè)很有意思現(xiàn)象,“怎么郵箱正則表達(dá)式可以各種各樣����,url正則表達(dá)式也不相同“,都出都在推薦���,都說(shuō)自己是正確的����,到底那個(gè)是正確的呢����?
從各異的正則表達(dá)式,我們可以得出2個(gè)結(jié)論����。一、正則表達(dá)式很靈活�,多種方法可以實(shí)現(xiàn)同一種結(jié)果(條條大路通羅馬),二�����、正則表達(dá)式匹配結(jié)果需要驗(yàn)證的,復(fù)雜正則表達(dá)式很容易產(chǎn)生錯(cuò)誤匹配��。今天����,我這里不說(shuō)正則表達(dá)式靈活性,我們看看常見(jiàn)正則表達(dá)式錯(cuò)誤使用��,產(chǎn)生功能漏洞例子����。希望,我們?cè)谑褂脮r(shí)候多多注意��。以下例子��,來(lái)自我工作中審核代碼��,經(jīng)常出現(xiàn)例子�,也歡迎朋友們補(bǔ)充���!
定界符”^$”缺失bug
/[0-9a-zA-Z]+/",$user))
{
exit("用戶名錯(cuò)誤�!");
}這是很常見(jiàn)的�����,因?yàn)闆](méi)有定界符����,正則表達(dá)式搜索�,會(huì)從$user中,字符中從左向右搜索�����,指導(dǎo)找到滿足條件的字符����,就會(huì)匹配到,并且返回true����,程序?qū)⒗^續(xù)執(zhí)行。我們測(cè)試�����,用戶名輸入:chengmo8,chengmo8??!���,#$chengm��,中國(guó)cadadf���,都可以匹配成功,看似要限制只能字符加數(shù)字用戶名���。實(shí)際由于缺乏限定符正則表達(dá)式�����,變成了�,只要字符串中包含字母加數(shù)字就可以注冊(cè)����。而我們需要的是,從頭到尾字符串必須是字母加數(shù)字��。正則表達(dá)式應(yīng)該是:^[0-9a-zA-Z]+$ ���,看似簡(jiǎn)單,在做從頭到尾字符匹配時(shí)候,不要忘記了^$字符��。一個(gè)匹配輸入字符開(kāi)頭�,一個(gè)匹配輸入字符結(jié)尾(默認(rèn)換行符前)
這種經(jīng)常做,手機(jī)號(hào)��,郵箱���,url����,注冊(cè)用戶名�,密碼等。都需要有限定符號(hào)���!
方括號(hào)字符"[ ]”中字符使用Bug
在正則表達(dá)式中���,常見(jiàn)正則表達(dá)式原字符(.*?等等)在方括號(hào)字符中將變成普通字符。 在方括號(hào)字符中���,表示特殊字符���,只有“^-\” 3個(gè)字符是特殊字符。其中,“^”字符����,在左方括號(hào)第一個(gè)字符時(shí)候,是代表不在后面所有字符中字符�!
如:[^0]不能是0字符。而如果是:[0^] �����,就代表包含0^字符了��。因?yàn)椋篰已經(jīng)不是左括號(hào)最右邊一個(gè)字符了��。 已經(jīng)跟普通字一樣了�。“-”字符代表是范圍字符���,如:[0-9] 代表是匹配0到9直接字符����?!盶”轉(zhuǎn)義字符,如果想匹配”-“字符�,可以[0\-9]�����,如果要匹配”\”,可以是:[0\\9]��,表示“09\” 3個(gè)字符了�。說(shuō)這么些,其實(shí)就是因?yàn)?,很多朋友在使用方括?hào)字符時(shí)候,經(jīng)常會(huì)弄錯(cuò)特殊字符��。
加紅是經(jīng)常錯(cuò)誤理解���,只想匹配and�����,一旦加入到"[ ]"中字符��,可以理解為所有字符組成字符 集合�����。任意在其中出現(xiàn)字符�,就可以匹配�,跟順序無(wú)關(guān)系!如果真需要匹配這類��,按字符分組來(lái)����,如”and|bnd” 將匹配and字符串,或者是bnd字符串���?��!眧”字符是�����,字符串或操作符����。左右兩邊連續(xù)字符串會(huì)組合為一個(gè)整體匹配��。
以上是“正則表達(dá)式中regex錯(cuò)誤使用導(dǎo)致功能漏洞的示例分析”這篇文章的所有內(nèi)容��,感謝各位的閱讀�!希望分享的內(nèi)容對(duì)大家有幫助���,更多相關(guān)知識(shí)��,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道���!
文章名稱:正則表達(dá)式中regex錯(cuò)誤使用導(dǎo)致功能漏洞的示例分析
文章源于:http://weahome.cn/article/jcdjjh.html
重慶分公司
重慶分公司
