个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
精简版
在下面的代码中,$1被污染了,我不明白为什么。
长版
我在运行 Foswiki在带有 -T 的 perl v5.14.2 系统上启用污点检查模式。
调试该设置的问题,我设法构建了以下 SSCCE。 (请注意,我编辑了这篇文章,第一个版本更长更复杂,评论仍然引用。)
#!/usr/bin/perl -T
use strict;
use warnings;
use locale;
use Scalar::Util qw(tainted);
my $var = "foo.bar_baz";
$var =~ m/^(.*)[._](.*?)$/;
print(tainted($1) ? "tainted\n" : "untainted\n");
$var未受污染且正则表达式固定,生成的捕获组
$1被污染了。我觉得这很奇怪。
Values may be untainted by using them as keys in a hash; otherwise the only way to bypass the tainting mechanism is by referencing subpatterns from a regular expression match. Perl presumes that if you reference a substring using
$1,$2, etc., that you knew what you were doing when you wrote the pattern.
when use locale is in effect, Perl uses the tainting mechanism (see perlsec) to mark string results that become locale-dependent, and which may be untrustworthy in consequence. Here is a summary of the tainting behavior of operators and functions that may be affected by the locale:
Comparison operators (
lt,le,ge,gtandcmp) […]Case-mapping interpolation (with
\l,\L,\uor\U) […]Matching operator (
m//):Scalar true/false result never tainted.
Subpatterns, either delivered as a list-context result or as
$1etc. are tainted if use locale (but notuse locale) is in effect, and the subpattern regular expression contains
':not_characters'\w(to match an alphanumeric character),\W(non-alphanumeric character),\s(whitespace character), or\S(non whitespace character). The matched-pattern variable,$&,$`(pre-match),
$'(post-match), and$+(last match) are also tainted if use locale is in effect and the regular expression contains\w,\W,\s, or\S.Substitution operator (
s///) […][⋮]
\w ,
\W ,
\s或
\S ,所以它不应该依赖于语言环境。
$1 ?
最佳答案
目前问题中引用的文档与 perl 5.18.1 的实际实现之间存在差异。问题是字符类。文档提到 \w , \s , \W , \S听起来像是一个详尽的列表,而几乎每次使用 […] 的实现都会受到影响。 .
正确的解决方案可能介于两者之间:像 [[:word:]] 这样的字符类应该污染,因为它取决于语言环境。我的固定列表不应该。字符范围如 [a-z]取决于整理,所以在我个人看来,它们也应该被污染。 \d取决于语言环境对数字的看法,因此它也应该受到污染,即使它既不是目前提到的转义序列之一,也不是括号内的类。
所以在我看来,文档和实现都需要修复。 Perl 开发人员正在致力于此。进度信息请看the perl bug report我报了案。
对于固定的字符列表,一个可行的解决方法似乎是将表达式作为析取,即 (?:\.|_)而不是 [._] .它更冗长,但即使使用当前(在我看来有缺陷的)perl 版本也应该可以工作。
关于regex - 通过正则表达式进行 Perl 污染,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/20355879/
25
4
0
我正在尝试编写一个函数,该函数接受输入字符串、正则表达式(由 std.regex.regex 从原始字符串生成)和错误消息字符串,并尝试匹配来自使用正则表达式输入字符串,如果没有匹配则显示错误消息。到
-edit- 注意 ?末.{2,}? 我发现你可以写 .{2,}? 是不是和下面一模一样? .{2} 最佳答案 号{2,}表示两次或更多次同时 {2}意思是正好两次。量词默认是贪婪的,所以给定字符串
我有以下文字: This is a test ::a. MODE 3 within 7 hours, ::b. MODE 4 within 13 hours, and ::c. MODE 5 with
我用 Regex.fromLiteral(".*") 创建了一个非常简单的匹配所有正则表达式. 根据documentation :“返回指定文字字符串的文字正则表达式。” 但是我真的不明白“对于指定的
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the he
该Web项目将静态内容放入一些/content/img文件夹中。 网址规则是:/img/{some md5} 但在文件夹中的位置:/content/img/{前两位数字}/ 例子 url:
我有以下数据: SOMEDATA .test 01/45/12 2.50 THIS IS DATA 我想从中提取数字 2.50。我已设法使用以下 RegEx 做到这一点: (?<=\d{2}\/\d{
我需要证明或反驳下面的正则表达式 (RS + R )* R = R (SR + R)* // or, for programmers: /(RS|R)*R/ == /R(SR|R)*/ 我有一种强烈的
对于具有自由文本的字符串: "The shares of the stock at the XKI Market fell by €89.99 today, which saw a drop of a
例如,我有 RegEx DSX-?2 的 var 我需要将此变量添加到 RegEx 并获取此 .match(/DSX-?2/gi) 最佳答案 您可以创建一个 RegExp对象使用 new RegExp
我无法区分大小写的搜索无法在SQLITE中用于REGEX。支持语法吗? SELECT * FROM table WHERE name REGEXP 'smith[s]*\i' 我希望得到以下答案(假设
Visual Studio / XPath / RegEx: 给定表达式: (?(Car|Car Blue)) +(?.+) +---> +(?.+) 给定搜索字符串: Car Blue Flying
我有一个看起来像这样的正则表达式 /^(?:\w+\s)*(\w+)$*/ 什么是?: ? 最佳答案 它表示子模式是非捕获子模式。这意味着在 (?:\w+\s) 中匹配的任何内容,即使它被 () 括起
就目前而言,这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持,但这个问题可能会引起辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开,visit the he
我在 Excel 工作表(也以 csv 格式)中获得了姓名列表,并根据姓名来源进行了分组。 这就是我创建的组的样子。 现在我想添加一个新列,名称后面包含组名称。 这就是我想要获得的。 我如何得到这个?
我试图将一个字符串拆分为一个字符串列表,单词是分开的,但是周围的字符,例如.. "?()“”!"也分开。 要分隔的字符串是"testing “testing” “one two three” (hi
我有一个来自视频转换文件的完整日志,它看起来像这样: -------------------------------------------------------------------------
在定界符为“-”的模式 X-Y-Z 中,我想检查 Y 是否具有大小 8 而没有重复。 Y 可以是像 Y = (A-B-C) 这样的子集,但如果没有,则 Y 的值为 1 1 - num-12345678
Java确实有这个功能,谢谢你的回答,对我来说失去对API的关注太可惜了... 例如: String strOriginal = "A:B&C@D"; 我认为java中应该有一个非常好的方法来改变它,
我只需要接受符合这些规则的输入... 0.25-24 0.25 的增量(.00、.25、.50、.75) 第一个数字不是必须的。 希望尾随零是可选的。 一些有效条目的示例: 0.25 .50 .5 1
我是一名优秀的程序员,十分优秀!