正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/

[teramako]

JavaScriptは大丈夫なはず // 正規表現は大抵の言語で似通っていて細かいところで違うので罠が多いなあ

[nijitaro]

これvalidate :formatで使ってたらrails4.1はワーニング吐いて教えてくれた。

[himomen]

マッチの真偽だけでなく、マッチした部分だけを使うようにすることも考えとかないとな

[takahashim]

『たのしいRuby』では正規表現の章の最初のコラム「行頭と行末」で説明してました（第1版でも第4版でも同様）

[seculog]

正規表現における「行の先頭と末尾」と「文字列データの開始と終端」の区別

[spacefrontier]

知らなかった…。大抵の本やWebサイトでは\A\Zの前に^$が解説されているし。

[ockeghem]

日記書いた/ ↑ id:kaerucircus \Zだと文字列末尾に改行があってもマッチするので$と同じ問題になりますよ

[itouhiro]

JavaScriptでは\Aも\zも存在しないらしい https://developer.mozilla.org/docs/Web/JavaScript/Reference/Global_Objects/RegExp FirefoxとChromeでも正規表現ちがうし難しいよね

[fumokmm]

¥Aと¥z

[nilab]

「Rubyの正規表現機能は、デフォルトで複数行モードである」「正規表現のメタ文字 ^ と $ は「行」の先頭・末尾を指します。文字列の先頭と末尾を指定する場合は、\A と \z を使用します」

[kuracom]

気をつける

[koki-h]

知らなかった。

[l-_-ll]

デフォルトで複数行モード: こちらはRuby特有の仕様ですが、Rubyの正規表現はデフォルトでPerlやPHPのm修飾子を指定したような動作（文字列の途中に改行があった場合でも文字列全体を1行と見なす）となります。

[labduck]

あぶないあぶない

[G1Xir3um]

"バリデーションでは"。

[m6u]

もしかして：おしえて\A to \z

[kithzmky]

バリデーション ruby 正規表現 セキュリティ PHP Perl

[oakbow]

この問題、Rails使ってれば実行時（サーバ起動時など）に警告出てなかったかな。知らなくても割と気づきやすいと思う。って三年前の記事か…。

[cpw]

知らんかった

[igrep]

]改めて見るにホント歴史の闇だな。。。

[michael-unltd]

“正規表現のメタ文字 ^ と $ は「行」の先頭・末尾を指します。文字列の先頭と末尾を指定する場合は、\A と \z を使用します。”

[Windymelt]

]これからは使っていきたい

[whitech0c0late]

気をつけよう。[正規表現]

[Caligari]

あかん

[matsuko1103]

場合によってインジェクションが通ってしまう例

[d_animal141]

正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

[tohokuaiki]

“正規表現のメタ文字 ^ と $ は「行」の先頭・末尾を指します。文字列の先頭と末尾を指定する場合は、\A と \z を使用します。”なるほどーー！！

[naglfar]

javase 8 を見に行ったら ^:The beginning of a line, $:The end of a line, \A:The beginning of the input, \z:The end of the input だった。

[ntmukai]

知らんかったー。でも^$の1文字で済ませたい感は残るなあ。

[skit_n]

勉強になりました

[masutaka26]

知らなかった

[uunfo]

かつて(いまも？）dankogaiがよく言っていた話

[blueday]

「Rubyの正規表現機能は、デフォルトで複数行モードである」

[Rocco]

それって言語の仕様を理解して使ってないというだけじゃね? QT 正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

[suginoy]

"データ末尾に改行が含まれている場合を見逃してしまう"

[tkpyoi]

ふと思ったのですがこれはマルチバイトでもOK?

[moronbee]

"Rubyに限らずPerlやPHPでもそうですが、正規表現のメタ文字 ^ と $ は「行」の先頭・末尾を指します。文字列の先頭と末尾を指定する場合は、\A と \z を使用します。"

[harukasan]

行末に改行入っててもマッチするの認識してなかった