Всем привет!
Есть ли вариант как сделать это красивее,  или это самая нормальная и быстрая возможность ?





Это сообщение отредактировал(а) firedrago - 16.11.2011, 12:10

Само появление такой необходимости кажется странным.

Необходимость появляется тогда, когда юзер сам задает формулу для вычислений, с константами, скобками и т.д. или есть лучшее решение?

Вполне сгодится, как быстрая возможность. 
Собственно понятие скрипта то и подразумевает - дать пользователю возможность самому вводить, или изменять какие-то алгоритмы в программе.

Вопрос правда о безопасности, если пользователь хакер, то ввести может не только мат формулу 
Так что нужно бы как-то верифицировать вводимое на предмет допустимости операций.

А что пользователь может ввести в данном случае, чтобы похакать программу?

  это я и хотел услышать, я тоже так думаю, в любом случае похоже на то, что это лучшее решение....



в моем случае, это не актуально...



теоретически - любой код, любой длины на JS (хотя я думаю, что скорее всего ничего ужастного сделать не получится), практически - надо разбераться....

В пределе - считайте что поставил на рабочее место свою программу.

По удобству прямого и полного доступа к ScriptEngineManager та же SQL иньекция - просто муки адовы для хакера 

Вспомнился пример использования, в ERP ADempiere очень много можно кастомизировать с помощью js кода. 
Защиту не смотрел.

В случае с мат вычислениями, можно попробовать организовать проверку на допустимые лексемы и имена констант, и разрешенных функций. Нужно как-то конечно и пользовательские функции разрешить, вносить их в список разрешенных лексем.

Но, в конце концов это можно и позже прикрутить, когда первый релиз будет сдан в эксплуатацию.

Любопытно было бы посмотреть на строку, при выполении которой делается что-то типа "rm ~ -rf".
И интересно, js который в java, умеет работать с файлами? Ведь в бразуерах на это ограничение.
Я так понимаю, что к внутренностям программы просто так из js кода не получишь доступ - там же нет замыкания на переменные метода, из которого вызван скрипт?

А вообще по сабжу - мне кажется, что это самое быстрое и простое решение проблемы. Нет нужны заморачиваться с приведением выражения к обратной польской нотации и т.п. Другое дело, что про безопастность выполнения таких скриптов я никогда не думал.

Он работает со всеми классами из JRE.
"Своей" библиотеки у него нет. Только движок JavaScript'а.

Вот если Jython подцепить, ну тогда к JRE еще и питоновская библиотека будет.


Зато есть все та же интроспекция, создание объектов и т.д.

С некоторыми нюансами.