質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

Q&A

解決済

2回答

709閲覧

与えられた文字列を Ruby の算術演算として eval する方法

arcxor

総合スコア2859

Ruby

Rubyはプログラミング言語のひとつで、オープンソース、オブジェクト指向のプログラミング開発に対応しています。

0グッド

0クリップ

投稿2022/01/26 18:26

編集2022/01/28 10:02

Ruby で簡単なWebAPIを作成しようとしています。

その一つに「文字列を入力として受け付けて、その文字列を算術演算した結果を返す」という機能を実装しようと考えています。算術演算の厳密な定義は特にありませんが、例えば「2の100乗の具体値を知りたい」といった「数値を計算する機能」をAPIとして提供したいのです。

APIのイメージとしては path/to/api/calculator?q=2**3*4 のようにリクエストされた場合、Ruby として 2**3*4 を計算して 32 を(JSONで)返すというものです。

WebサーバでRubyを動作させたり、JSON形式でHTTPレスポンスを出力するといった部分については既に理解しているので完成しています。

(PHP や JavaScript は使い慣れているのですが)Ruby に詳しくなく、単純に考えると eval してしまえば結果が得られるとは思うのですが、本当に eval を使ってしまうとOSコマンドインジェクションに脆弱になってしまうので算術演算の文脈に限って eval するような方法が Ruby で実現できるかについて、ご教示いただけるでしょうか。

もちろん、算術演算用の構文解析を自作すればやりたい機能は実現できますが、ネイティブの Ruby でサポートされている算術演算(あるいはビット演算、つまり数値同士の演算)の結果を得るような実装ができるのかについて考えているところです。

直接的な回答でなくとも構いませんので、何かアドバイスがあれば回答いただければ幸いです。(例えば、他の言語ならこんな風にできるといった関連情報でも構いません。)


質問への追記・修正の依頼に対する回答

maisumakun (2022/01/27 08:19)

ネイティブの Ruby でサポートされている算術演算(あるいはビット演算、つまり数値同士の演算)の結果を得るような実装ができるのか

どうしてそこにこだわる必要があるのでしょうか?そして、それを「Webサービスとして」公開する必要性はどのあたりにあるのでしょうか?

一般的なWebサービスとして公開するというより、本来の目的は仲間内で使う(研究目的の)Webツールを作るというものです。

余談ですが、以下のようなツールが最近公開されました。しかしこれはどうやらWindows向けアプリで、macOSでは利用できないようです。そこで、このようなツール群をWebアプリとして(仲間内で)利用できるWebサイトを作ってしまおうかと思ったのが本件のきっかけでした。

「Visual Studio」の中の人が作ったプログラマー向け十徳ナイフ「DevToys」
https://forest.watch.impress.co.jp/docs/news/1382919.html

この機能は思い付きではあるものの、冒頭に書いた「2の100乗の具体値を知りたい」といった機能を提供するもので、どうせなら Ruby で解釈できる演算をそのまま提供してしまおうと考えたのが「そこにこだわる」理由です。

仲間内での利用を想定していますが、せっかくならインターネット上に公開できるものをと考え、だとするとOSコマンドインジェクションの余地のある実装は宜しくないと思い、安全な実装方法がないかとお尋ねした次第であります。

ご質問の回答になっているでしょうか。回答内容に不足があればご指摘ください。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

maisumakun

2022/01/26 23:19

> ネイティブの Ruby でサポートされている算術演算(あるいはビット演算、つまり数値同士の演算)の結果を得るような実装ができるのか どうしてそこにこだわる必要があるのでしょうか?そして、それを「Webサービスとして」公開する必要性はどのあたりにあるのでしょうか?
arcxor

2022/01/27 07:17 編集

スレッド本文を更新いたしました。
guest

回答2

0

ベストアンサー

はっきり言いますが、「安全なものだけevalする」という方針は、二重の意味で不適当だと考えます。

  • 「何が安全か」を見極めるには、幅広いRubyの言語知識が必要ですし、逆に制限しすぎれば「Rubyが使える」という有用性を失ってしまいます。
  • 安全な式なのかを判断するには、Rubyとしてのパースが必要ですが、パース結果と意味が取れている以上、わざわざevalに投げ直すより、パースされた構造から直接値を計算するほうが合理的と考えます。

投稿2022/01/27 12:10

maisumakun

総合スコア145121

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

winterboum

2022/01/27 23:14

その パースのための情報がほしいのでは?
arcxor

2022/01/28 01:02 編集

質問者としての回答を投稿しておきましたが、 https://teratail.com/questions/i2kj4vdcs819ro#reply-oojtwehsneaki0 「これは結果的に私の勘違いだったようですが、Java や Ruby なんかにネイティブで Math.ExpressionEvaluate("2**100") のようなパースメソッドがあるのではないかということを期待していた」というのが私の質問の意図でした。(これは質問後の調査で気づいたことでした。質問時にこのことを示せずすみません。) maisumakun さんからの回答を受けて、ネイティブにはそうした機能がないと考えを改めて調査した結果、`keisan` というモジュールを見つけることができました。 これは結局のところ、「わざわざevalに投げ直すより、パースされた構造から直接値を計算するほうが合理的」というご指摘通りの実装方法になりますね。 ネイティブの機能に私が求める Expression Evaluator は無いということが(おそらく)分かったことだけでも助言いただき助かりました。 ご質問ならびにご回答ありがとうございました。
guest

0

質問者です。質問後に調査できた内容について書いておきます。

「与えられた文字列を算術演算として評価する」という処理が(ネイティブの) Ruby の機能でできないか、というのが質問時に期待していた疑問の本質でした。

これは結果的に私の勘違いだったようですが、Java や Ruby なんかにネイティブで Math.ExpressionEvaluate("2**100") のようなパースメソッドがあるのではないかということを期待していたようです(これは質問後の調査で気づいたことでした。質問時にこのことを示せずすみません)。

調査したところ math expression parser 言語名 のようなキーワードで検索すると、この質問と同じことを(様々な言語で)言及している記事が出てきました。

どの言語もネイティブの機能ではなく、構文解析を実装した独自のパーサーのようですが Ruby についてもいくつかの独自のパーサーが見つかりました。その中でも keisan という gem モジュールが使いやすそうでした。

懸念されるOSコマンドインジェクションなど、セキュリティホールが気になりますが keisan モジュールはある程度安全な作りにはなっているようです(内部でも eval を使わず独自の構文解析により実装されているように見えます)。

更に keisan モジュールにおいて驚くべきことは、想像以上に高機能であることです。例えば日時演算がサポートされています。(高機能すぎて今回の目的では使いきれません)。

ruby

1calculator = Keisan::Calculator.new 2calculator.evaluate("x = 11") 3calculator.evaluate("(5 + date(2018, x, 2*x)).day") 4#=> 27 5calculator.evaluate("today() > date(2018, 11, 1)") 6#=> true 7calculator.evaluate("date('1999-12-31').to_time + 10") 8#=> Time.new(1999, 12, 31, 0, 0, 10) 9calculator.evaluate("date(1970, 1, 15).epoch_days") 10#=> 14

ただし、何の考えもなくユーザ入力された文字列を与えてよいかというとそうではなく、上記2個目の記事でも注意書きされているように、(無限ループや無限再帰、ReDoSなどによる)DoS攻撃を容易に引き起こすことができてしまうようです。


ということで、私の元の要望に対しては keisan モジュールでの evaluate を使うことで Ruby ネイティブの eval を使うよりは安全に実装できそうですが、keisan が高機能すぎてコンストラクタ引数(Keisan::Calculator.new(allow_recursive: false) など)を用いたり、事前にユーザ入力値を制限して、本当に「安全」かどうかをよく吟味する必要がありそうです。

ここまでが調査した結果ですが、今回の目的に適した別の方法を何かご存知の方がいらっしゃったらご回答いただけると幸いです。

回答が付かないようであれば適当にこのスレッドをクローズしようと思います。

投稿2022/01/28 00:53

arcxor

総合スコア2859

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問