Sigurnosna kriza na tračnicama

(ne)sigurnosttehnologije

Nick se na svojem blogu osvrnuo na sigurnosni problem u Rails-u: Urgent! Upgrade now and don't ask questions. Tajnovitost oko tog propusta nije se dopala korisniku koji je s radošću J2EE zamijenio Railsom. Django tim je odlučio po onoj narodnoj da "pametan čovjek uči na tuđim greškama, a budala na vlastitim...".

Nisam proučavao, ali izgleda da je problem s definicijom regular expressiona koji je obuhvaćao previše toga. Iako su regex-i ponekad najbrži način da se nešto napravi, ja ih u pravilu izbjegavam i koristim samo u jednostavnijim slučajevima. Jedan od motiva za stvaranje vlastitog PHP template engine-a bio je i taj što nisam želio da TE koristi regexe. Oni su bili krivi za većinu problema koje sam imao s tuđim TE-ovima, a uzimali su i svoj danak u performansama. Regexe koristim uglavnom samo za grepanje ili za traženje i zamjenu teksta u tekstualnim editorima.

Ako koristite složenije regexe u svojim aplikacijama onda za njih trebate napraviti obiman i sveobuhvatan unit test.