.NETFramework4.5新特性（三）

正则表达式超时（超时）

“正则表达式”一直是做验证首选的方式。如果你是正则表达式的新手，请看正则表达式，我解释了正则表达式是如何执行的。但是正因为正则表达式的典型逻辑解析使得它暴露于DOS攻击下。让我们试着理解刚才我说的。

作为例子请考虑这样的正则表达式-“^(\d+)$”。这个正则表达式表明只能有数字。你也可以看正则表达式符号图，它标明了这个正则表达式会如何求值。现在让我们假设要验证“123456X”。这将有6条路径如下图所示。

但如果我们再多加一个数字进去，将会有7条路径。换句话说，随着字符长度的增加，正则表达式将会花更多时间执行。也就是说，求值时间与字符长度成线性比例。

现在让我们把之前定义的正则式从“^(\d+)$”变为“^(\d+)+$”。如果你看正则表达式符号图它将相当复杂。如果我们现在试着验证“123456X”，将会有32条路径。如果你再增加一个字符，路径数将会增加到64。

换句话说，上面的正则表达式中时间开销与字符数目为成倍关系。

现在你可能要问的是，这很重要吗？线性上升的求值时间可以被黑客利用来进行DOS（拒绝服务）攻击。他们可以部署一个长而且是足够长的字符串来使你的应用永远挂起。

对于这个问题合适的解决方法是在正则表达式执行上设置超时时间。好消息是，在.NET4.5中你可以定义一个超时属性如下代码所示。所以如果你收到任何怀有恶意的字符串，应用不会永远在循环中执行。