Coffre-fort à l'évaluation des expressions arithmétiques en Javascript

J'ai besoin pour évaluer saisies par l'utilisateur de l'arithmétique des expressions comme "2 * (3 + 4)" en Javascript mais je ne veux pas utiliser eval pour des raisons de sécurité.

J'ai pu dépouiller tous les caractères qui ne sont pas des numéros ou des opérateurs, mais je ne suis pas sûr que ce serait à l'abri de toute façon, et ce serait bien si l'utilisateur peut utiliser des fonctions comme cos, sqrt, etc...

Existe-il des bibliothèques Javascript qui ne l'arithmétique de l'évaluation de l'expression?

Sauf si vous obtenez votre propre, vous n'aurez pas à surmonter les problèmes de sécurité?

OriginalL'auteur Giuseppe Ottaviano | 2011-02-21

20

vous pouvez essayer JavaScript Évaluateur D'Expression:

Cette bibliothèque est une version modifiée de
Raphaël Graf ActionScript d'Expression
Analyseur. Quand j'ai écrit le JavaScript
Traceur de fonction, je voulais un mieux
alternative à l'utilisation du JavaScript eval
fonction. Il n'y a aucun risque de sécurité
actuellement, parce que vous ne pouvez l'exécuter
code dans votre propre navigateur, mais ce n'est pas
aussi pratique pour les mathématiques (les Mathématiques.pow(2^x)
au lieu de 2^x, etc.).

puis votre code sera comme ça:
```
console.info ( Parser.evaluate( "2 * (3 + 4)" ) ); //prints 14
```
Merci! C'est exactement ce que je cherchais, et je vous jure, j'ai googlé pour toutes les variations possibles sur "l'évaluation de l'expression" j'ai pu trouver...

OriginalL'auteur
9

Comme déjà mentionné, la plupart des dommages de n'importe quel utilisateur puisse faire est à peu près ce qu'ils pouvaient déjà le faire en utilisant le haut de la console dans tous les principaux navigateurs. Cependant, si vous souhaitez restreindre l'utilisateur à l'aide de Math propriétés/méthodes, vous pouvez écrire une simple regex pour gérer cela pour vous. Quelque chose comme ceci devrait fonctionner:
```
function mathEval (exp) {
    var reg = /(?:[a-z$_][a-z0-9$_]*)|(?:[;={}\[\]"'!&<>^\\?:])/ig,
        valid = true;

    //Detect valid JS identifier names and replace them
    exp = exp.replace(reg, function ($0) {
        //If the name is a direct member of Math, allow
        if (Math.hasOwnProperty($0))
            return "Math."+$0;
        //Otherwise the expression is invalid
        else
            valid = false;
    });

    //Don't eval if our replace function flagged as invalid
    if (!valid)
        alert("Invalid arithmetic expression");
    else
        try { alert(eval(exp)); } catch (e) { alert("Invalid arithmetic expression"); };
}
```
Je me rends compte que vous ne souhaitez pas utiliser eval pour des raisons de sécurité, mais les regex devrait le faire assez sûr qu'elle exclut tous les mots qui ne sont pas direct propriétés de la Math objet et la plupart des non-math JS opérateurs, y compris l'opérateur d'affectation (=) et des opérateurs binaires. Le plus difficile de la méthode d'écriture d'un générateur de jetons pour analyser l'expression mathématique, parce que ce n'est pas un langage régulier.

N'hésitez pas à essayer et à briser le exemple de travail je l'ai écrit, si vous le pouvez, ou si vous remarquez un problème, laissez un commentaire et je vais voir ce que je peux faire pour résoudre le problème.

Remarque: Yi Jiang mentionné en JavaScript chat, il pourrait également être utile d'autoriser les minuscules pour des choses comme Math.PI. Si c'est le cas, vous pouvez simplement ajouter le suivant else if instruction dans la fonction de remplacement:
```
else if (Math.hasOwnProperty($0.toUpperCase())
    return "Math."+$0.toUpperCase();
```
Ajouter entre les if et else déclaration (exemple).

Bonne approche, il m'a aidé à résoudre un problème similaire
"La plupart des dommages de n'importe quel utilisateur puisse faire est à peu près ce qu'ils pouvaient déjà le faire en utilisant le haut de la console dans tous les grands navigateurs" est basé sur de fausses prémisses. Les chaînes de venir de l'extérieur du navigateur via les serveurs et les Url. La meilleure politique est de code en supposant que les entrées de votre fonction, à partir de lieux à ne pas attendre que les autres devs ajouter à votre application, ce qui signifie ne pas utiliser trop puissant opérateurs comme eval.
J'aurais du mal à être d'accord à 100%. Tout ce que vous avez dit est vrai lors de l'évaluation d'entrée en provenance d'autres sources, je maintiens ma réponse pour quand vous êtes seulement à l'évaluation de la saisie de l'utilisateur.
Ma lecture de l'expression "évaluation des entrées de l'utilisateur" comprend l'évaluation de l'entrée de l'utilisateur Carol utilisateur dans le navigateur d'Alice. Avant chaque PM et leur mère a été d'essayer de rendre leur site web "social", plus limitée, la lecture serait raisonnable, mais aujourd'hui, je pense que le plus vaste de la lecture doit être la valeur par défaut, sauf si l'application spec dit précisément le contraire.
Le usecases peut inclure l'évaluation de la saisie de l'utilisateur sur le serveur. Ensuite, la sécurité est importante.

OriginalL'auteur
3

Vous pouvez utiliser l'avancée analyseur d'expression de math.js qui n'utilise pas de JavaScript eval.

http://mathjs.org

Utilisation:
```
var ans = math.eval('2 * (3 + 4)');
```
ou de l'utilisation de l'analyseur (qui prend en charge variable et fonction des affectations):
```
var parser = math.parser();
var ans = parser.eval('2 * (3 + 4)');
```
OriginalL'auteur
1

Vous pouvez utiliser une regex pour remplacer tout, sauf pour votre liste blanche. Mais depuis que le javascript est exécuté sur le client (sauf si vous utilisez AOL le serveur http) n'importe qui peut modifier les entrées peuvent modifier le code en tant que bien de sorte que vous n'êtes pas vraiment le rendre tout plus ou moins sûr qu'il l'est déjà.

Tout dépend si l'utilisateur de taper l'évaluation de l'expression est la même que l'utilisateur de l'évaluation de cette expression.

OriginalL'auteur

Vous devez vous connecter pour publier un commentaire.