Wie man Regexe NICHT verwenden sollte! (Allgemeines zu Perl)

[thread]17185[/thread]

Wie man Regexe NICHT verwenden sollte!

Tags: perl5 regex Ähnliche Threads

Leser: 30

Articles: hide open all | hide show old branches

+9 replies
GwenDragon

2012-02-23 13:14
User since
2005-01-17
14538 Artikel
Admin1
Ich und ihr könnt hier mal ein paar Beispiele für Regexe posten, die eine Falle werden können.

Ein Beispiel, das in einer Webanwendung (Download-CGI) lief und auch bei normalen URLs klappte.

gekürzt:
Code (perl): (dl )

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

#!/usr/bin/perl -w my $dir = "/var/www/mydom.de/htdcos"; use CGI qw/:all/; my $p = path_info; $filename= "$dir/$p"; # weiterer Code #.... #.... #... # mach irgendwas mit $filename #... #...... $res = ""; if ($filename =~ m{$p\.png}) { # is PNG $res = "OK"; } else { $res = "NOT OK!!!"; } print header; print "Upload is ", $res;
Alles klar, denken manche. Sieht doch normal aus.

Aber wehe die URL wird als http://example.org/cgi-bin/dl.pl/..++++a.png oder http://example.org/cgi-bin/dl.pl/a[].png aufgerufen, dann kracht es wie ein Serverlog zeigte:
Code: (dl )

1 2

[Thu Feb 13 11:01:30 2012] [error] [client 127.0.0.1] Nested quantifiers in regex; marked by <-- HERE in m//..+++ <-- HERE +a.png\\.png/ at dl.pl line 18. [Thu Feb 13 11:01:30 2012] [error] [client 127.0.0.1] Premature end of script headers: dl.pl
Und der Server nörgelt mit einem 500er. Logisch.

Dabei wäre es einfach gewesen, das Regex so zu verwenden:
Code (perl): (dl )

if ($filename =~ m{\Q$p\E\.png}) { # is PNG
Wenn ihr auch so ein paar Fallen habt, nur auch posten. Dann stürzen die nächsten Anfänger nicht drüber. ;)

//EDIT: Vielleicht auch gut, das ins Wiki zu setzen? Falls sowas nicht schon vorhanden ist.
Last edited: 2012-02-23 13:22:51 +0100 (CET)
die Drachin, Gwendolyn

Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel
- +5 replies
- rosti
  
  2012-02-23 13:22
  User since
  2011-03-19
  3197 Artikel
  BenutzerIn
  Für URLs gibt es URI::Split
  
  Code (perl): (dl )
  
  1 2
  
  use URI::Split qw(uri_split uri_join); ($scheme, $auth, $path, $query, $frag) = uri_split($uri);
  
  Da braucht niemand mit RegExn rumzumachen ;)
  - +4 replies
  - GwenDragon
    
    2012-02-23 13:53
    
    User since
    2005-01-17
    14538 Artikel
    Admin1
    
    Egal wie der Path absplittet wird, wenn der Regexzeichen enthält, knallt es.
    
    Das verwenden von URI:Split ändert aber nix an der Falle von Zeile 21 :P
    die Drachin, Gwendolyn
    
    Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel
    - +3 replies
    - rosti
      
      2012-02-23 19:47
      
      User since
      2011-03-19
      3197 Artikel
      BenutzerIn
      
      2012-02-23T12:53:46 GwenDragon
      Egal wie der Path absplittet wird, wenn der Regexzeichen enthält, knallt es.
      
      Das verwenden von URI:Split ändert aber nix an der Falle von Zeile 21 :P
      
      Ja, da hast Du Recht, habs nachvollziehen können ;)
      
      Plan 'B': use File::Basename;
      
      VG, Rosti
      - +2 replies
      - GwenDragon
        
        2012-02-23 19:53
        
        User since
        2005-01-17
        14538 Artikel
        Admin1
        
        Ja, auch das Verwenden von File::Basename kann sinnvoll sein.
        
        Aber wo willst du das einsetzen, um Zeile 21 zu verhindern? Der Pfad der URL muss ja überprüft werden. Erzähl mal.
        Ich weiß ja wie das zu Problem zu umgehen ist, aber die Lernenden hier sind bestimmt gespannt wie deine Lösung von Zeile 21 aussieht, damit es keinen Ärger mehr gibt. ;)
        die Drachin, Gwendolyn
        
        Unterschiedliche Perl-Versionen auf Windows (fast wie perlbrew) • Meine Perl-Artikel
        
        rosti
        
        2012-02-23 20:33
        
        User since
        2011-03-19
        3197 Artikel
        BenutzerIn
        
        Keine RegEx. Wenn Du auf dem Server bist, hast du auch den lokalen Pfad und kannst Image::Info benutzen, zum Prüfen, ob ein png vorliegt.
        
        --rosti
- pq
  
  2012-02-23 14:00
  
  User since
  2003-08-04
  12208 Artikel
  Admin1
  
  user-eingaben generell nie als regex verwenden (ausser mit quotemeta).
  selbst wenn man den syntaxfehler bzw. den 500er mit eval umgehen könnte, gäbe es dann noch die möglichkeit, eine fiese regex zu bauen, die sehr viel zeit kostet.
  Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live. -- Damian Conway in "Perl Best Practices"
  lesen: Wie frage ich & perlintro brian's Leitfaden für jedes Perl-Problem
- +2 replies
- clms
  
  2012-02-23 23:40
  User since
  2010-08-29
  373 Artikel
  BenutzerIn
  Wenn man keine Module zum Zerlegen des Filenamens verwendet, würde ich als Paranoiker zumindest ein $ ans Ende der Regex setzen.
  
  Code (perl): (dl )
  
  if ($filename =~ m{\Q$p\E\.png$}) { # is PNG
  
  Sonst matched man am Ende noch irgendeinen Verzeichisnamen...
  - moritz
    
    2012-02-24 09:47
    User since
    2007-05-11
    923 Artikel
    HausmeisterIn
    
    Vorsicht, das ist auch gefaehrlich. Ein $ erlaubt noch ein \n am Ende:
    
    Code: (dl )
    
    1 2
    
    $ perl -wE 'say "a\n" =~ /a$/' 1
    
    Wenn man das nicht will, sollte man \z statt $ benutzen.
    Perl 6 - Perls Zukunft

View all threads created 2012-02-23 13:14.