[JavaScript] Eval Sicherheit

Dieses Thema im Forum "Webentwicklung" wurde erstellt von encud, 29. November 2011 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 29. November 2011
    Eval Sicherheit

    Hallo zusammen,

    ich würde gerne wissen wie bösartig die Eval-Funktion in Javascript wirklich werden kann.
    Und zwar habe ich einen string der vom user kommt als mathematischen Ausdruck z.B. '4+5*6' und ich will mir den wert berechnen lassen, also 34. Wenn ich den String durch eval jage funktioniert das einwandfrei. Damit der User mit falschen eingaben nicht das Programm zum Absturz bringen kann, würde ich vorher noch eine abfrage machen ob nur operatoren wie +-/* sowie numerische Zeichen benutzt wurden.
    Was könnte ein Angreifer jetzt mit diesem Wissen anstellen? Wenn ich das richtig sehe könnte er im schlimmsten fall das Selbe machen, wie als wenn er die Konsole benutzen würde. Das ich Eval nicht Serverseitig benutzen sollte ist mir klar, aber in Javascript sehe ich im Moment noch nicht das große Problem.

    Jemand anderer Meinung?

    Gruß
     
  3. 29. November 2011
    AW: Eval Sicherheit

    wenn du nur zahlen und operatoren zulässt seh ich auch kein problem darin eval zu benutzen, auch wenn ein eigener algorithmus zum auswerten von mathematischen ausdrücken mehr spaß macht

    kritisch wird es nur, wenn du strings mit eval auswerten lässt. vor allem, wenn diese strings aus einer datenbank/parameter kommen. dann können "hacker" schadcode einschleusen der zwar nicht dich (deinen server), aber all deine benutzer betrifft.

    eval() - JavaScript | MDN!
     
  4. 29. November 2011
    AW: Eval Sicherheit

    Okay, cool. Dann war mein Ansatz doch richtig.

    Besten dank für die Antwort!
     
  5. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.