接上一篇:正则表达式(regex)错误使用导致功能漏洞 ,我们继续梳理,正则表达式错误使用,导致功能设计漏洞(bug),做web方面,需要掌握的知识很多,网站开发这项工作,在国内也就10多年,很多开发人员,都是通过:培训(自学) ->模仿->做项目 ,这样一个过程。很多就是修修改改后,就成为了web开发工程师。这行入门低,很容易上手。但是想成为大师级的,还是很不容易。需要学习,掌握的知识几十门。而对于刚刚入门同人,很多时候因为缺乏系统学习,理论支持。导致提升有些心有余而力不足啦!因此,出现这些或多或少的功能设计漏洞,是很常见的!
好了,有些跑题了,在做代码走查时候,这类漏洞也是时常出现。我们看下,下面代码:
查找所有页面出现abc或者bcd开头,后面紧跟数字字符串。通过上面,我们看,正确匹配到bcd123,如果我们输入:$user = “abc123张三”, 发现不能匹配到了。原因是”|”字符,优先级最低,以上写法会变成:匹配abc 或者是bcd\d+ 字符串。
以上图,将|,包含到()中。
如果要提升优先级,可以(abc|bcd)\d+ ,匹配所有abc或者bcd 字符串,并且后面紧跟数字的。在使用”|”字符串,注意它的优先级级别低,如果要优先匹配,可以放入()中。
相关文章:
- 正则表达式(regex)入门、元字符(特殊字符)、学习提高、学习实例
- 正则表达式(regex)错误使用导致功能漏洞
- 正则表达式、分组、子匹配(子模式)、非捕获子匹配(子模式)
- 正则表达式(regex) 贪婪模式、懒惰模式使用
- 识别真假搜索引擎(搜索蜘蛛)方法(baidu,google,Msn,sogou,soso等)
- 正则表达式单行、多行模式简介(使用说明)
- web应用安全参数检测方法(检测输入参数方法)
作者:程默的博客 QQ:8292669
原文网址:http://blog.chacuo.net/187.html
订阅保持关注:http://blog.chacuo.net/feed
本文版权归作者所有,欢迎转载,请务必添加原文链接。