0

そのため、ユーザーが要求できるように、モデルのフィールドで正規表現クエリを公開したいと思います。

http://localhost:3000/myview.json?field=^hello, (there|world).*

したがって、ワイルドカード文字などを認識するためにルートを変更する必要があることはわかっています。コントローラー内で簡単に実行して、Regexp.new()これを実際の正規表現に変換できます(背面でmongomapperを使用しています)。

問題は、XSSの潜在的に巨大なセキュリティホールです。

これについて心配する必要がありますか?ユーザーが正規表現文字列を使用してクエリを実行できるようにするにはどうすればよいですか。

(私はユーザーがデータベースを槌で打つことについてあまり気になりません...まだ)

4

1 に答える 1

0

正規表現は、に何か問題がない限り、任意のコードを実行することはできませんRegexp.newRegexp.newしたがって、それが有効な正規表現を作成するか、失敗するか、または他の正気なことを行うと仮定した場合、着信文字列をサニタイズする必要はなく、すでに安全です。

于 2012-08-22T04:08:18.847 に答える