本文探讨了Java中正则表达式的使用风险,特别是在处理大量重复模式时可能导致的资源耗尽攻击。通过一个具体案例,分析了正则表达式在面对特定输入时的效率问题,并提出了一种更优的解决方案——利用程序循环而非正则循环来处理数组,显著提升了代码性能。
前言:
在Java中,正则的使用需要谨慎,好的正则可以方便我们的代码,但是不好的正则,可能成为黑客攻击的漏洞。类似本例子的正则,黑客可以组织不同的匹配字符,使得校验不过,耗尽服务器资源(资源耗尽攻击)。详见正则的状态机原理。
1.说明:2018/8/17:
校验输入字符串是否合规,允许:100000000000^145^1^1000.00| 100000000000^145^1^1000.00| ....
如此序列(100000000000^145^1^1000.00|)必须满足1-18个,19个则失败。
写正则:reg = ^(\\d{12}\\^\\d{3}\\^[123456]{1}\\^\\d+[\\.\\d+]*\\|){1,18}$
代码:
String regex = "^(\\d{12}\\^\\d{3}\\^[123456]{1}\\^\\d+[\\.\\d+]*\\|){1,18}$";
Pattern pattern = Pattern.compile(regex);
Matcher matcher = pattern.matcher(prove);
if (!matcher.matches()) {
return false;
}
return true;
2.问题:
在测试案例中含有18个序列,正常通过。在案例增加到19个序列时,程序卡死。
3.分析:
正则循环次数过多!导致资源耗尽或死循环。
4.解决方法:
减少正则校验的循环次数,改为程序循环!,直接传递切割好的数组,再对数组进行循环。
代码:
String[] proves = accountProve.split("\\|");
if (proves.length > 18 || proves.length < 1) {
return false;
}
for (String prove : proves) {
String regex = "^(\\d{12}\\^\\d{3}\\^[123456]{1}\\^\\d+[\\.\\d+]*)$";
Pattern pattern = Pattern.compile(regex);
Matcher matcher = pattern.matcher(prove);
if (!matcher.matches()) {
return false;
}
}
return true;
扫一扫
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
