lua下实现防注入的string.replace函数

最新推荐文章于 2021-01-13 05:10:04 发布
原创 最新推荐文章于 2021-01-13 05:10:04 发布 · 8.3k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#lua #string.replace #模式匹配

本文探讨了在Lua中使用string.gsub进行字符串替换时可能遇到的“注入”问题,特别是当匹配字符串来源于外部输入(如玩家名字)时。通过一个具体示例,展示了如何避免由特殊字符引发的错误,并提供了一个自定义的字符串替换函数,确保在不执行模式匹配的情况下进行安全的替换。

问题

string.gsub是lua下用处非常多的字符串处理函数,其中一个很常见的功能就是做字符串替换,但如果要匹配的字符串是来自于系统外(如玩家的名字、公会名这种),那就要小心出现“注入”问题。

下面是一个简单的例子,我们需要把一段含有玩家名字的字符串中的玩家名字加上加粗标签。

local some_text = '沉睡的(包子)的神器'
local player_name = '沉睡的(包子)'
local final_text = string.gsub(some_text, player_name, '<b>' .. player_name .. '</b>')
-- 报错:invalid pattern capture

原因

原因是string.gsub并不是简单的字符串替换,而是会把第二个参数当成pattern来匹配,可以参考文档。而上面的例子中,玩家名字里的左括号其实是中文的左括号,而右括号是英文的右括号,而括号在正则表达式里是用于捕获的,所以才报了上面的错。

其实很多时候,我们只需要一个简单的字符串替换功能,并不需要用到正则表达式来匹配,但由于lua自身没有这样的功能,所以我们就自己实现一个简单的字符串替换函数吧。

解决方案

基本思路就是采用string.find[文档],它的第四个参数可以指定不执行模式匹配,这正是我们需要的。

还有一点要注意,如果有多个成功匹配,string.gsub会把所有成功匹配都替换,而不仅仅只替换第一个,我们的函数也会实现这个功能。

-- 字符串替换【不执行模式匹配】
-- s       源字符串
-- pattern 匹配字符串
-- repl    替换字符串
--
-- 成功返回替换后的字符串,失败返回源字符串
string.replace = function(s, pattern, repl)
    local i,j = string.find(s, pattern, 1, true)
    if i and j then
        local ret = {}
        local start = 1
        while i and j do
            table.insert(ret, string.sub(s, start, i - 1))
            table.insert(ret, repl)
            start = j + 1
            i,j = string.find(s, pattern, start, true)
        end
        table.insert(ret, string.sub(s, start))
        return table.concat(ret)
    end
    return s
end
Lua语言的正则表达式
2501_90373042的博客
02-03 790
正则表达式(Regular Expression,简称Regex)是一种用于描述字符串模式的工具,广泛应用于文本处理、数据验证、字符串搜索和替换等领域。Lua语言作为一种轻量级的脚本语言,虽然自身并不原生支持正则表达式,但它通过提供模式匹配功能,能够实现类似正则表达式的功能。本文将深入探讨Lua中的模式匹配,包括基础语法、常用模式、示例及其在实际开发中的应用。
Lua语言入门 - 字符串 (一)
qq_40788199的博客
12-05 1103
字符串或串(String)是由数字、字母、下划线组成的一串字符。 在 Lua 中,字符串是一种基本的数据类型,用于存储文本数据。 Lua 中的字符串可以包含任意字符,包括字母、数字、符号、空格以及其他特殊字符。
luadec解密工具 包含了5.1、5.2、5.3版本的 luareplace.exe/ luaopswap.exe/ luadec.exe/ lua.exe
06-25
├─5.1 │ └─bin │ liblua51.lib │ lua.exe │ lua51.dll │ lua51.lib │ luac.exe │ luadec.exe │ luaopswap.exe │ luareplace.exe │ ├─5.2 │ └─bin │ liblua52.lib │ lua.exe │ lua52.dll │ lua52.lib │ luac.exe │ luadec.exe │ luaopswap.exe │ luareplace.exe │ └─5.3 └─bin liblua53.lib lua.exe lua53.dll lua53.lib luac.exe luadec.exe luaopswap.exe luareplace.exe
lua堆栈操作
热门推荐
lovemysea的专栏
01-29 2万+
(1)lua 和 C++之间的交互的基本知识:      lua 和 C++ 之间的数据交互通过堆栈进行,栈中的数据通过索引值进行定位,(栈就像是一个容器一样,放进去的东西都要有标号)其中栈顶是-1,栈底是1,也就是第 1 个入栈的在栈底;也可以这么说:正数表示相对于栈底的位置(位移),负数表示相对于栈顶的位置(位移);(2)计算和清空栈中元素的操作:1、函数lua_gettop()用于返回栈
Lua中使用string.gsub 替换函数
TheBigBoy的博客
04-27 1万+
c#中可以使用replace来进行替换操作,那么在Lua中同样会使用到替换 strirng.gsub(参数一,参数二,参数三) 参数一:需要替换的元素所在的字符串 参数二:被替换的东东 参数三:替换为什么东东 string.gsub(itemConfig.ItemDesc, "\\n", ":") local str = "我是一只小菜鸡\n说的很有道理" local temp =...
Lua中如何防止sql注入
ljp1919的专栏
11-17 3563
背景:假设我们在用户登录使用上 SQL 语句查询账号是否账号密码正确,用户可以通过 GET 方式请求并发送登录信息比如:http://localhost/login?name=person&password=12345那么我们上面的代码通过 ngx.var.arg_name 和 ngx.var.arg_password获取查询参数,并且与 SQL 语句格式进行字符串拼接,最终 sql语句会是这个样子
luastring.replace
03-19
Lua 中,可以使用 `string.gsub` 方法来实现字符串的查找和替换功能。该方法会返回一个新的字符串,在其中所有的匹配项都被替换成指定的内容。 以下是关于如何使用 `string.gsub` 的详细介绍: #### 基础语法 `...
lua.g lualib.h 函数说明
最新发布
08-08
### `lua.h` 和 `lualib.h` 头文件中定义的函数说明 Lua 提供了多个核心头文件,其中 `lua.h` 和 `lualib.h` 是两个最重要的头文件,分别定义...通过上述方式,可以将 C/C++ 函数暴露给 Lua 脚本,实现双向通信。 ---
lua require package.path package.loaded _G
andy1515的专栏
04-27 667
参考https://blog.csdn.net/duke_geng/article/details/41844175 简介 require函数像dofile一样载入文件为一个Chunk并执行。但具有两个好处:1. 按模式加载文件 2.不会重复载入相同的文件require和package.path的关系 典型的package.path值如下(其中D:Bin为lua.exe所在目录): .?.lua...
lua.h函数说明
08-08
这些函数构成了 Lua 与 C/C++ 交互的基础,开发者可以通过这些 API 实现 Lua 脚本的加载、执行、变量访问等操作。需要注意的是,由于 Lua 是使用 C 语言编写的库,若在 C++ 项目中使用,需将 Lua 头文件包含在 `...
lua中字符串匹配笔记
FlowShell的专栏
10-11 5895
string.gsub 函数有三个参数:目标串,模式串,替换串。 基本作用是用来查找匹配模式的串,并将使用替换串其替换掉:  s = string.gsub("Lua is good", "good", "bad?")  print(s)   --> Lua is ba
lua-string
小回忆i
10-24 291
string.upper(argument): 字符串全部转为大写字母 string.lower(argument): 字符串全部转为小写字母。 string.gsub(mainString,findString,replaceString,num) 将mainString中所有符合pattern的字串替换为reps,返回结果串+匹配数 mainString 为要操作的字符串, fi...
LUA实现单词替换功能
weixin_34258078的博客
06-11 297
背景描述 编程或者文档处理过程, 经常遇到需要将一个单词修改为另外一个单词的情况, 例如 命名为 shall 修改 为 should。 使用工具实现, 则比较方便,不容易出错, 解放双手。   需求规格 对于某个文件夹中的所有文本文件(txt), 将某个单词替换为目标单词。   实现思路 对于替换的单词映射, 在配置文件config.lua进行设置, 存储一个表,表中每一行 对应  src voc...
lua替换中文,替换lua中包含特殊字符的字符串
weixin_42135773的博客
01-13 501
I want to replace string in lua. Here is the string.strng='\begin{matrix} 1 & 2 & 3 \\ 4 & 5 & 6 \\ 7 & 8 & 10 \end{matrix}'I want to replace\begin{matrix} by {{& b...
lua基础】luastring
huang11055的专栏
07-28 301
1、字符串操作 string.upper(s);//字符串转为大写字母 string.lower(s);//字符串转为小写字母 string.gsub(s1,findstring,replacestring,num)//在字符串中替换,s1为需要操作的字符串,findstring为被替换的字符,replacestring是替换的字符,num为替换的次数,如果默认则表示全部替换 string.gsub("aaaaaa","a","s",2);结果:ssaaaa string.find(str,sub
Lua 字符串
冷月醉雪的博客
03-31 761
    字符串或串(String)是由数字、字母、下划线组成的一串字符。     Lua语言中字符串可以使用以下三种方式来表示: 单引号间的一串字符 双引号的一串字符 [[和]]间的一串字符    以上三种方式的字符串实例如下: string1 = "Lua" print("\"字符串 1 是\"",string1) string2 = 'runoob.com' print("字符串 ...
lua替换中文_替换lua中包含特殊字符的字符串
weixin_35880151的博客
01-13 860
I want to replace string in lua. Here is the string.strng='\begin{matrix} 1 & 2 & 3 \\ 4 & 5 & 6 \\ 7 & 8 & 10 \end{matrix}'I want to replace\begin{matrix} by {{& b...
lua 屏蔽字替换为 '*'
u013952163的博客
08-22 1266
直接上代码了 -- 将字符串转换为数组 function get_split_str_list(str) local tab = {} for uchar in string.gfind(str, "[%z\1-\127\194-\244][\128-\191]*") do table.insert(tab, uchar) end return ...
luastring字符串
qq_39249403的博客
12-16 363
string :字符串 – 是由一对双引号或者单引号定义的 – 也可以用 2 个方括号 “[[]]” 来表示"一块"字符串。 print(“2” + 8) – 10 lua会把数字字符转为数字 print(“2” + “6”)-- 8 –print(“error”+1)–报错 error1 rror 1 字符串拼接用… print(“error”…1) – error1 –字符串长...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值