Разумно ли использовать следующее рег. выражение для пароля?

Question

[khomaldi]

Здравствуйте. Я хочу дать пользователю возможность вводить любые символы для пароля, кроме пробела. Использую следующее рег. выражение /^[\S]{8,72}$/.

Скажите, пожалуйста, насколько это безопасно (вдруг он там что-то эдакое хитрое введёт?) И если это небезопасно, то какое рег. выражение использовать для такой цели?

Answer 1

[Saboteur]

Взято с рекомендаций разработчиков мозиллы (https://developer.mozilla.org/en-US/docs/Web/JavaS...)

function escapeRegExp(string){
  return string.replace(/[.*+?^${}()|[\]\\]/g, '\\$&'); // $& means the whole matched string
}

Comments

[maksam07]

наверное было бы лучше переписать эту функция для серверной стороны, если используется серверная сторона в принципе

[Saboteur]

Максим Компаниец, Валидацию можно делать и там и там, чтобы обычный пользователь лишнего не отправлял (экономит трафик, нагрузку и комфорт для пользователя), и чтобы пользователь продвинутый, даже если бы отправил, то все равно не помогло.

[maksam07]

Saboteur, полностью согласен. Защита по всем фронтам + удобство для клиента. только можно не replace, а test/match, для проверки и отработки какого-то действия (если нужно)

Answer 2

[jsmittie]

Пользователь не сможет ввести что-то эдакое, если на бэкенде экранировать небезопасные символы. :)
Указанное регулярное выражение для пароля не очень т. к. по данному паттерну можно ввести небезопасный пароль, например 123456789

/^[\S]{8,72}$/.test('123456789') // true

Лучше уж что-то более безопасное и банальное - как минимум одно число, как минимум одна строчная буква и одна заглавная.