Вектор атаки регулярного выражения?

Question

Как можно «параметризовать» переменные, вводимые в Regex в Ruby? Например, я делаю следующее:

q = params[:q]
all_values.collect { | col | [col.name] if col.name =~ /(\W|^)#{q}/i }.compact

Поскольку это (# {q}) - переменная из ненадежного источника (строка запроса), я должен предположить, что это может быть вектор атаки. Здесь есть лучшие практики?

Answer 1

Попробуйте Regexp.escape :

>> Regexp.escape('foo\bar\baz$+')
=> "foo\\\\bar\\\\baz\\$\\+"

Ваш код будет выглядеть примерно так:

q = params[:q]
re = Regexp.escape(q)
all_values.collect { | col | [col.name] if col.name =~ /(\W|^)#{re}/i }.compact

Answer 2

Итак, вы хотите, чтобы пользователь мог предоставить произвольное регулярное выражение или просто какой-нибудь буквальный текст, который наверняка можно заключить в кавычки? Если пользователь может предоставить как регулярное выражение, так и текст, с которым будет выполняться сопоставление, выполнить DoS-атаку несложно, предоставив выражение с экспоненциальной средой выполнения.