170 похожих чатов

Всем привет. Есть задача сделать калькулятор стоимости услуг. Вопрос заключается

в том, что надо дать возможность добавлять кастомную логику расчета (например скидки или зависимости от других услуг). Теряюсь как это лучше и безопасно сделать. Как я это вижу сейчас. Пишется функция на JS и сохраняется как текст в БД. При расчете данная функция исполняется через const result = new Function(customTextFunction). Но возникает обеспокоенность в плане безопасности, что могут засувать любой код. Может я не верное решение вижу? Или если это правильное решение, но какие средставми максимально себя обезопасить? Может как-то ограничить используемые команды и разрешить только математические и логические функции. Может у кого-то был такой опыт и направите в нужном направлении?

7 ответов

11 просмотров

Сохранять и испольнять код от юзеров тот ещё гемор, лучше так не делать

Ну... если боишься что могут запихать любую функцию, то пиши парсер математических операций на js. Так и гугли, парсер математических операций. И тем кто будет забивать формулы в калькулятор будет проще.

К посту выше https://mathjs.org/docs/expressions/parsing.html

Konders
К посту выше https://mathjs.org/docs/expressions/p...

Спасибо. Направление понял, буду изучать

Хз засунь в какой-нибудь math js

А как в формуле отразится зависимость от других услуг? И возможна ли зависимость от внешних сервисов (например, внешний сервис возвращает скидку конкретного клиента)?

Похожие вопросы

Обсуждают сегодня

Всем привет, написал код ниже, но он выдает сегфолт, в чем причина? #include <stdio.h> #include <stdlib.h> #include <string.h> struct product { char *name; float price; };...
buzz базз
32
Хотел бы спросить у знающих, правильную ли я выбрал книгу для начала изучения ассемблера Юрова В.И ? Или есть более лучшие книги для начала обучения?
Botsman
25
Книга Юрова В.И пойдёт для обучения?
Botsman
24
$params = [ 'formid' => 'feedbackForm', 'formTpl' => '@CODE: <form class="form-validate" data-id="ajax_form"> <fieldset class="margin-bottom-md"> ...
Pathologic
1
> Примечательно, что новый владелец удаляет из GitHub любые жалобы, указывающие на подозрительную активность или смену владельца, и, видимо, рассчитывает на то, что пользовате...
Alex Sherbakov
1
Hey there Which is the best Linux destro for developers (coding)? To my research on reddit, they said Linux mint is good for mid level spec and Ubuntu for high Lev hardwar...
Wiz 🪄
11
Подскажите пожалуйста, а я могу вот такую штуку использовать? rpc, только реализованное в реббите https://www.rabbitmq.com/tutorials/tutorial-six-php ( или https://habr.com/ru...
Artyom
11
И ещё вопрос: можно ли типа как на дос как-то запариться и с помощью прерываний выводить текст, вместо функции printf ?
НѣкъиⰘижєжєиꙁъвьсєсвѣтьноѣсѣтиѥсть•
34
а мы ещё не созрели до того, чтобы создать отдельный чатик про настройку редакторов?
Cheese Syrowiecki
16
Всем привет! У меня почему-то по-разному отображается TListView в Debug и Release режимах (FireMonkey)! При запуске под Win приложения TListView заливается программо. в Debug ...
Александр COM
8
Карта сайта