Maison > Article > interface Web > Comment puis-je analyser du JSON « détendu » sans utiliser eval et sans maintenir la sécurité ?
Analyse JSON "détendue" sans recourir à Eval
Dans le but de faciliter une expérience d'analyse JSON plus conviviale, les développeurs ont souvent recours à la fameuse fonction eval. Cependant, cette pratique suscite des inquiétudes quant aux failles de sécurité. Cet article explore une approche alternative pour analyser le JSON « détendu » sans compromettre la sécurité, en fournissant une solution qui répond à la fois aux exigences de commodité et de sécurité.
Le problème :
La norme La méthode d'analyse JSON, JSON.parse, adhère strictement à la syntaxe JSON correcte, exigeant que les clés soient placées entre guillemets. Cependant, dans la pratique, les développeurs rencontrent souvent des données JSON avec une syntaxe « détendue », où les clés ne peuvent pas être citées. Cela pose un défi pour analyser ces données en toute sécurité.
La solution :
Au lieu d'utiliser eval, qui exécute du code sans discernement, une méthode plus sûre et tout aussi efficace consiste à utiliser un expression régulière pour nettoyer les données JSON. Cette technique consiste à remplacer les clés non citées par des équivalents correctement cités, permettant aux données d'être analysées avec succès par JSON.parse.
Processus étape par étape :
Exemple de code :
Considérez le JSON "détendu" suivant :
{muh: 2}
Pour analyser ces données en utilisant l'approche sanitized :
var badJson = "{muh: 2}"; var correctJson = badJson.replace(/(['"])?([a-z0-9A-Z_]+)(['"])?:/g, '"": '); var resultObject = JSON.parse(correctJson);
Après le processus de désinfection, la variable correctJson contiendra un JSON valide :
{"muh": 2}
Qui peut ensuite être analysé en toute sécurité par JSON.parse, ce qui entraîne le objet JavaScript souhaité.
Conclusion :
En adoptant cette technique de nettoyage, les développeurs peuvent analyser en toute sécurité les données JSON « détendue » sans recourir à l'évaluation. Cette approche fournit une solution pratique qui garantit à la fois l'intégrité des données et le respect de pratiques de programmation sécurisées.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!