发现eval的一个BUG

最新推荐文章于 2022-01-16 21:15:50 发布
最新推荐文章于 2022-01-16 21:15:50 发布
阅读量682 收藏
点赞数
分类专栏: 前端 文章标签: javascript 正则表达式 bug eval
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/samed/article/details/50402674
版权

最近在弄Javascript,有一个需求是需要自定义公式。

而仅仅用公式是不行的,还要支持自定义函数。

那么问题来了,怎么匹配函数呢?

我的方式是用正则表达式。


例如有如下函数:

    { 'Name':'DateDiff',
      'Desc':'计算从 StartDate 到 EndDate 之间的时间单位(Unit)个数, Unit 可以为:"y/m/d/h/mi/s",依次代表 "年/月/日/时/分/秒"',
      'Returns':'Int 时间单位个数(不包含 EndDate )',
      'Format':'DataDiff(StartDate,EndDate,Unit)',
      'Regexp':'/DateDiff\((.*?),(.*?),([ymdhs]|mi)\)/i',
      'KeyPos':'0,1',
    }

这个函数在很多语言里面都有,我就不做过多解释了。

P.S.:这里为了简便起见,前两个参数我仅仅用 .*? 来代替了,实际上不是这样的,需要判断参数的格式是否符合规范。

Js中使用

(Regexp).test(SomeString)

就可以匹配了,看是否命中。

因为这个函数的定义是从数据库中读取的,得出来的Regexp是一个字符串,所有还要用eval转换一下才能成为正则表达式匹配字符串。

变成这样:

(eval(Regexp)).test(SomeString)
就是这个小转换,问题来了。


在实际测试的过程中,产生了如下结果:

  var RegexpStr = '/DateDiff\((.*?),(.*?),([ymdhs]|mi)\)/i';
  console.log( (eval(RegexpStr)).test('DateDiff(1,2,3)') );
  console.log( (eval(RegexpStr)).test('DateDiff(1,2,d)') );
  console.log( (eval(RegexpStr)).test('DateDiff(1,2,d3)') );
  console.log( (eval(RegexpStr)).test('DateDiff(1,2,daa43523452345)') );
输出: 

false
true
true
true
哭笑不得。

第三个参数只要匹配命中第一个字符串,就认为是命中的,后面无论接上什么,都会命中……

如果直接使用正则字符串,就不会出现这个问题。


这个暂时没有找到解决的办法,只能前台判断一次之后后台再判断一次。

Python中无此问题,因为正则字符串无需eval转换。


------------------------------------------------------

2016-05-09更新

话说,这其实不是bug啦,只是我正则写得不对。

要匹配形如 DateDiff(1,2,d) 的字符串,正则应该这么写:

DateDiff\(.*?,.*?,([ymdhs]|(mi))\)

之前少了两个小括号,匹配的时候就有点问题了。

匹配的时候改用exec就更容易发现问题。

而且,把字符串转化成正则字符串也不建议用eval,而应该 new 一个RegExp会比较好。

例如:

var Parren = new RegExp('DateDiff\\(.*?,.*?,([ymdhs]|(mi))\\)', 'i');

不知道你留意到没有,括号是需要“额外”转义的。

因为如果不加 \\ ,那么结果 parren 就会是 “/DateDiff(.*?,.*?,([ymdhs]|(mi)))/i

少了斜杠,则此表达式永远无法匹配命中。

更新过后,上述正则表达式的测验脚本如下:

        var RegexpStr = 'DateDiff\\(.*?,.*?,([ymdhs]|(mi))\\)';
        var Parren = new RegExp(RegexpStr, 'i');
        console.log(eval('/'+RegexpStr+'/i'),Parren)
        console.log( (/DateDiff\(.*?,.*?,([ymdhs]|(mi))\)/i).exec('DateDiff(1,2,3)') );
        console.log( (/DateDiff\(.*?,.*?,([ymdhs]|(mi))\)/i).exec('DateDiff(1,2,d)') );
        console.log( (/DateDiff\(.*?,.*?,([ymdhs]|(mi))\)/i).exec('DateDiff(1,2,d3)') );
        console.log( (/DateDiff\(.*?,.*?,([ymdhs]|(mi))\)/i).exec('DateDiff(1,2,daa43523452345)') );
        console.log( (eval('/'+RegexpStr+'/i')).exec('DateDiff(1,2,3)') );
        console.log( (eval('/'+RegexpStr+'/i')).exec('DateDiff(1,2,d)') );
        console.log( (eval('/'+RegexpStr+'/i')).exec('DateDiff(1,2,d3)') );
        console.log( (eval('/'+RegexpStr+'/i')).exec('DateDiff(1,2,daa43523452345)') );
        console.log( Parren.exec('DateDiff(1,2,3)') );
        console.log( Parren.exec('DateDiff(1,2,d)') );
        console.log( Parren.exec('DateDiff(1,2,d3)') );
        console.log( Parren.exec('DateDiff(1,2,daa43523452345)') );

测验结果:

/DateDiff\(.*?,.*?,([ymdhs]|(mi))\)/i /DateDiff\(.*?,.*?,([ymdhs]|(mi))\)/i  /*这一行的括号及斜杠都被csdn吞了,各位测验的时候注意一下。*/
null
["DateDiff(1,2,d)", "d", undefined, index: 0, input: "DateDiff(1,2,d)"]
null
null
null
["DateDiff(1,2,d)", "d", undefined, index: 0, input: "DateDiff(1,2,d)"]
null
null
null
["DateDiff(1,2,d)", "d", undefined, index: 0, input: "DateDiff(1,2,d)"]
null
null




samsample
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
踩坑:pytorch中eval模式下结果远差于train模式介绍
01-19
Batch Normalization,在train时不仅使用了当前batch的均值和方差,也使用了历史batch统计上的均值和方差,并做一个加权平均(momentum参数)。在test时,由于此时batchsize不一定一致,因此不再使用当前batch的均值...
JS之(eval函数)返回Json或Object,导致Bug,使用eval函数处理
小达哥的博客
11-21 1309
function news(id){ $.ajax({ type : "POST", url:"${path}/bulletinNews/newsDetail.do", dataType: 'json',//返回数据的类型 data:{id:id}, success:function (data) { data=eval('('+...
eval()的使用和兼容性问题
weixin_34074740的博客
11-06 1244
eval()的使用 eval() 函数可将字符串转换为代码执行,并返回一个或多个值 eval调用时,实例为eval( "( javascript代码 )" ) eval()的返回值 eval()的返回值遵循以下规则: 如果eval()的参数不是字符串,那么eval()将直接返回参数。 如果eval()的参数是字符串,那么eval()将这...
pythoneval函数错误_Python eval的常见错误封装及利用原理详解
weixin_39869959的博客
11-29 792
最近在代码评审的过程,发现挺多错误使用eval导致代码注入的问题,比较典型的就是把eval当解析dict使用,有的就是简单的使用eval,有的就是错误的封装了eval,供全产品使用,这引出的问题更严重,这些都是血淋淋的教训,大家使用的时候多加注意。下面列举一个实际产品中的例子,详情见[bug83055][1]:def remove(request, obj):query = query2dict(...
javaScript中的eval函数踩坑
weixin_45190226的博客
01-16 936
代码业务说明: 1.用eval函数将下面字符串解析成javaScript可执行代码 “var arr =[98,99,100]” 2.用eval函数将下面字符串解析成javaScript可执行代码 “{“name” : “Tim”,“age” : 20}” 下面是错误的代码: <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <title>eval函数&lt
【Ajax】[bug] 页面 eval() 处理 Json 数据报错
千山牧雪的专栏
04-01 2162
记录两个开发的时候碰到的问题 1. 在页面使用 Jquery 的 Ajax eval() 方法处理返回数据时,网页控制台一直在报错  Uncaught SyntaxError: Unexpected token 因为 eval() 方法是把 ajax 异步返回的 json 数据转换成 Json 对象的,在调用 eval() 方法时报错,极有可能就是 json 的数据格式出了问题。 通
javascript使用eval或者new Function进行语法检查
12-13
使用new Function( ) 来进行语法... 接受的参数前面增加“0,” 其实这是由于IE中存在一个bug。出于某种原因,如果你在IE 中想通过调用eval( ) 来动态地构造一个函数。 例如: eval(‘(function(){ /*
STM32 3.5固件库带sdio版本V4.5.0 bug修改
07-25
1:SD_WaitReadOperation()函数或者SD_WaitWriteOperation()函数进入死循环;2:sd_init()过程失败;3:SD_DMAEndOfTransferStatus函数内没有清标志位,按照datasheet,标志位是由手动清除的。4:SD_ReadBlock()...
Python eval的常见错误封装及利用原理详解
12-31
下面列举一个实际产品中的例子,详情见[bug83055][1]: def remove(request, obj): query = query2dict(request.POST) eval(query['oper_type'])(query, customer_obj) 而query就是POST直接转换而来,是...
vue-fullscreen:一个简单的全屏 Vue.js 组件
07-24
一个简单的Vue.js组件全屏基于 快速示例 在不退出全屏的情况下导航到新页面 中文文档 支持 支持的浏览器 注意:为了在 Internet Explorer 中使用这个包,你需要一个 Promise polyfill。 注意:桌面和 iPad 支持...
js math.js 加减乘除 eval方式解决精度问题
qq_33635666的博客
02-25 1732
js math.js 解决 加减乘除 精度问题 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns = "http://www.w3.org/1999/xhtml"> <head> <title></title> <meta
JS 里面的 eval() 函数的作用和报错之后的处理
请叫我大师兄
10-12 2万+
Uncaught SyntaxError: Unexpected token : eval()函数报错处理
python中的eval函数
Bug_fuck的博客
02-12 2500
之前博客中也有说明Python中的exec和eval函数,今天补充一下eval函数的含义: 获取字符串中原始数据。 举个例子: my_str = "5.15" value = eval(my_str) print(value) print(type(value)) 输出: 5.15 &lt;class 'float'&gt; 将5.15换成abc时程序就会报错 my_str = "abc" ...
Python eval()函数
热门推荐
另一个自己
08-25 6万+
eval(str)函数很强大,官方解释为:将字符串str当成有效的表达式来求值并返回计算结果。所以,结合math当成一个计算器很好用。eval()函数常见作用有: 1、计算字符串中有效的表达式,并返回结果>>> eval('pow(2,2)') 4 >>> eval('2 + 2') 4 >>> eval("n + 4") 85 2、将字符串转成相应的对象(如list、tuple、dict和str
javascript Eval扩展正则替换
slwsss的专栏
02-22 513
function func(s, m, r) { m = s.match(m); var t = { func: (a, b) =&gt; parseInt(a) * parseInt(b), match: m.groups }; return r.replace(/\{.+?\}/g, p =&gt; eval('(functio...
js中使用eval()的问题
u010459047的博客
11-30 1234
http://zhidao.baidu.com/link?url=r4VcFi2CQl_ThFdAYNJkkjz2r82Jlv4g_GyJwmmFQM9gEbgacYEj2Orlc9HQIIzhJe6AmxbZSL69mA8q-bPGo_ eval函数接收一个参数s,如果s不是字符串,则直接返回s。 否则执行s语句。如果s语句执行结果是一个值,则返回此值,否则返回undefined。 Jav
我有一个bug是Binding eval in strict mode (41:12)
最新发布
06-13
这个错误通常是由于在严格模式 (`"use strict"`) 下使用 `eval()` 函数导致的。在严格模式下,`eval()` 函数的行为会有所不同,并且不能在严格模式下使用 `eval()` 来创建变量或函数。可能的解决方法是使用 `...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值