惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

F
Fortinet All Blogs
美团技术团队
T
Tenable Blog
大猫的无限游戏
大猫的无限游戏
Schneier on Security
Schneier on Security
S
Schneier on Security
博客园_首页
C
Cyber Attacks, Cyber Crime and Cyber Security
I
Intezer
T
Tailwind CSS Blog
GbyAI
GbyAI
C
CERT Recently Published Vulnerability Notes
博客园 - 【当耐特】
IT之家
IT之家
G
Google Developers Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
P
Privacy International News Feed
Vercel News
Vercel News
Cyberwarzone
Cyberwarzone
N
News and Events Feed by Topic
Application and Cybersecurity Blog
Application and Cybersecurity Blog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
The Register - Security
The Register - Security
人人都是产品经理
人人都是产品经理
Cisco Talos Blog
Cisco Talos Blog
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Project Zero
Project Zero
V
V2EX
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
月光博客
月光博客
Hacker News - Newest:
Hacker News - Newest: "LLM"
WordPress大学
WordPress大学
L
LangChain Blog
阮一峰的网络日志
阮一峰的网络日志
MongoDB | Blog
MongoDB | Blog
F
Full Disclosure
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
N
News and Events Feed by Topic
G
GRAHAM CLULEY
H
Hacker News: Front Page
Forbes - Security
Forbes - Security
H
Heimdal Security Blog
L
LINUX DO - 最新话题
L
Lohrmann on Cybersecurity
Apple Machine Learning Research
Apple Machine Learning Research
Help Net Security
Help Net Security
C
Cybersecurity and Infrastructure Security Agency CISA
Recent Announcements
Recent Announcements
C
Cisco Blogs
L
LINUX DO - 热门话题

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Как одна кривая регулярка может «положить» ваш сервер: разбираем уязвимость ReDoS
Коммунист Этичный Хакер · 2026-06-07 · via Все публикации подряд на Хабре

Средний

9 мин

3.6K

Как одна кривая регулярка может «положить» ваш сервер: разбираем уязвимость ReDoS

Алерты кричат о 100% загрузке CPU, API лежит, сыплются таймауты и 502 ошибки. Первая мысль — DDoS. Но графики сети абсолютно спокойны. Вы смотрите логи и видите, что перед падением пришел всего один странный POST-запрос с email чуть длиннее обычного. Никаких инъекций, просто пара лишних символов.

И этого хватило, чтобы наглухо парализовать бэкенд.

Что произошло? (TL;DR)

Это классический ReDoS (Regular Expression Denial of Service). В отличие от сетевого DDoS, здесь бьют не по ширине канала, а по алгоритмической сложности.

Суть кроется в движках регулярных выражений (включая стандартный модуль re в Python), которые используют механизм бэктрекинга (поиска с возвратом). Если регулярка содержит логические изъяны — например, вложенные квантификаторы (a+)+ — специально подобранная строка заставляет парсер зайти в тупик. Он начинает возвращаться назад и перебирать все возможные комбинации символов.

Сложность вычислений растет экспоненциально: каждый лишний символ во входной строке удваивает время работы. В итоге строка длиной всего в 30–40 символов заставит процессор уйти в вычисления на десятилетия.

Регулярные выражения — мощнейший инструмент, но алгоритмические ошибки в них обходятся очень дорого. Если вы хотите понимать логику работы парсера под капотом и научиться сразу писать оптимальные, безопасные паттерны — приглашаю на мой авторский БЕСПЛАТНЫЙ курс «Python: Регулярные выражения (RegEx) с нуля».

Далее мы препарируем эту уязвимость под капотом Python, напишем эксплойт для зависания собственного процессора и разберем, как защитить свой код от подобных катастроф.

2. Под капотом Python: Как работает модуль re

В мире регулярных выражений бал правят два основных архитектурных подхода: DFA (детерминированные конечные автоматы) и NFA (недетерминированные конечные автоматы).

DFA работает предсказуемо и быстро. Он проходит по строке строго один раз слева направо, всегда точно зная, в каком состоянии находится. Ему требуется ровно столько шагов, сколько символов в тексте, поэтому он гарантирует выполнение за линейное время O(N). Однако из-за своей прямолинейности DFA ограничен в возможностях и не поддерживает многие продвинутые функции.

Встроенный в Python модуль re (как и движки регулярных выражений в Perl, Java, JavaScript и PHP) использует NFA-движок.

Почему разработчики выбрали именно его? NFA дает огромную гибкость. Именно благодаря ему работают такие мощные конструкции, как «жадные» и «ленивые» квантификаторы, заглядывания (lookarounds) и, что самое главное, обратные ссылки (backreferences). Это механизм, позволяющий захватить кусок текста в группу и сослаться на него же дальше в выражении (например, для поиска повторяющихся слов).

Но за эту мощь приходится платить. Главная архитектурная особенность и одновременно уязвимое место NFA — механизм бэктрекинга (backtracking), или поиска с возвратом.

Суть бэктрекинга

Как это работает на практике? NFA-движок пытается сопоставить паттерн, читая входную строку. Встречая квантификаторы вроде * (ноль или более) или + (один или более), он по умолчанию ведет себя «жадно»: захватывает максимально возможный кусок текста.

Если после такого захвата оставшаяся часть строки не совпадает с хвостом регулярного выражения, движок фиксирует, что зашел в тупик. Тогда он делает шаг назад: откатывается по строке, «отдает» один символ из захваченного куска и пробует применить оставшуюся часть регулярки снова. Если снова неудача — откатывается еще на один символ назад. Движок методично перебирает возможные ветвления, пока не найдет полное совпадение или не исчерпает абсолютно все варианты возврата.

В нормальных условиях, при адекватном регулярном выражении и типичных входных данных, эти возвраты происходят мгновенно. Движок быстро понимает, что совпадения нет, отбрасывает неверные ветки за микросекунды и выдает результат. Проблема возникает только тогда, когда логика паттерна при определенных строках генерирует огромное количество таких тупиковых ветвей.

3.Что такое Catastrophic Backtracking

Катастрофический возврат возникает там, где в регулярном выражении появляется недетерминированность — двусмысленность, при которой одно и то же совпадение может быть достигнуто множеством разных путей.

Классические уязвимые конструкции, из-за которых падают серверы, обычно сводятся к двум паттернам:

  • Вложенные квантификаторы: (a+)+, ([a-zA-Z]+)*, (a*)*.

  • Пересекающиеся альтернативы: (a|a)+, ([a-z]|[a-zA-Z])+.

Проблема этих выражений в том, что они предоставляют движку слишком много свободы. В паттерне (a+)+ символ “a” может быть поглощен как внутренним плюсом, так и внешним. Для NFA-движка это означает, что если совпадение сразу не нашлось, он будет обязан проверить абсолютно все возможные комбинации распределения символов между внешними и внутренними группами.

Почему происходит взрыв (Трассировка)

Давайте посмотрим, как парсер сходит с ума при попытке сопоставить регулярку ^(a+)+$ со строкой aaaa! (символ ! в конце здесь критичен — именно он обламывает полное совпадение и заставляет движок искать обходные пути).

Вот как выглядят шаги бэктрекинга:

  1. Движок идет по строке. Внутренний квантификатор a+ жадно забирает все 4 буквы: (aaaa). Затем он смотрит на следующий символ и упирается в !. Конец строки $ не достигнут. Совпадения нет.

  2. Запускается бэктрекинг. Движок делает шаг назад, и внутренний a+ «отдает» одну букву. Первая группа становится (aaa). Оставшуюся букву a подхватывает внешнее условие (начинается вторая итерация группы): (aaa)(a). Движок снова упирается в !. Совпадения нет.

  3. Очередной откат. Первая группа отдает еще одну букву: (aa). Теперь остаток aa нужно как-то распределить. Движок пробует (aa)(aa), а затем (aa)(a)(a). Обе ветки упираются в !.

  4. Откаты продолжаются, перебирая все доступные комбинации:

  • (a)(aaa)

  • (a)(aa)(a)

  • (a)(a)(aa)

  • (a)(a)(a)(a)

Движок методично перебирает все возможные варианты разбиения строки. Только исчерпав их до самого последнего, он сдается и возвращает None.

Математика зависания

С точки зрения математики, при несовпадении движок решает задачу комбинаторики: сколькими способами можно расставить границы подгрупп между одинаковыми символами. Для строки из N подходящих символов, за которыми следует несовпадающий символ, количество вариантов разбиения пропорционально 2^{N-1}.

Алгоритмическая сложность (время выполнения) деградирует с линейного O(N) до экспоненциального O(2^N). Что это значит на практике?

Каждый новый символ, добавленный во входную строку, увеличивает время валидации в два раза.

Если строка из 15 символов парсится за безопасные доли секунды, то дальше начинается катастрофа:

  • Строка из 25 символов потребует уже около 33 миллионов шагов бэктрекинга.

  • Строка из 30 символов — больше миллиарда шагов (ваш сервер повиснет на несколько минут).

  • Строка из 40 символов — заблокирует процесс на годы.

Именно поэтому ReDoS так опасен: чтобы положить бэкенд, атакующему не нужен ботнет. Ему нужен один HTTP-запрос со строкой длиной всего в 40-50 символов.

4. Практика на Python: Вешаем свой процессор

Давайте отвлечемся от сухой теории и посмотрим, как эта уязвимость выглядит в реальном коде.

«Безобидный» код

Представьте банальную задачу: нам нужно написать валидатор для поля ввода, где пользователь указывает свои навыки или теги через пробел. Разработчик решает задачу «в лоб» и пишет регулярку: строка должна состоять из букв и цифр, после которых может идти необязательный пробел, и все это повторяется до конца строки.

Получается вот такой паттерн: ^([a-zA-Z0-9]+\s?)+$

На первый взгляд, все отлично. Прогоняем валидные данные — регулярка работает без нареканий. Но в ней заложена бомба замедленного действия: вложенный квантификатор + внутри группы, которая сама закрыта квантификатором +.

Код эксплойта

Давайте напишем небольшой скрипт и посмотрим, что произойдет, если мы подадим на вход строку, состоящую только из подходящих букв a, но в самом конце добавим символ !, который сломает совпадение.

Вы можете скопировать этот код и запустить локально (спойлер: кулер вашего ноутбука начнет шуметь).

import re
import time

# Наша «безобидная» регулярка для валидации слов с пробелами
vulnerable_regex = re.compile(r'^([a-zA-Z0-9]+\s?)+$')

# Нормальный ввод — отрабатывает за микросекунды
print("Valid input:", bool(vulnerable_regex.match("Habr is awesome"))) 

# Функция для тестирования злонамеренного ввода
def test_redos(payload_length):
    # Формируем зловредную строку: много 'a' и один '!' в конце
    payload = "a" * payload_length + "!"
    
    start = time.time()
    vulnerable_regex.match(payload)
    elapsed = time.time() - start
    
    print(f"Length: {payload_length} | Time: {elapsed:.4f} sec")

# Показываем экспоненциальный рост времени обработки
for i in range(20, 31):
    test_redos(i)

Анализ результатов

Запустив скрипт, вы увидите примерно такую картину в консоли:

Valid input: True
Length: 20 | Time: 0.0412 sec
Length: 21 | Time: 0.0825 sec
Length: 22 | Time: 0.1651 sec
Length: 23 | Time: 0.3304 sec
...
Length: 28 | Time: 10.5123 sec
Length: 29 | Time: 21.0345 sec
Length: 30 | Time: 42.1051 sec

Обратите внимание на цифры. При длине строки в 20 символов регулярка тупит, но еще справляется за сотые доли секунды. Однако с каждым добавленным символом время выполнения удваивается.

При 30 символах скрипт будет «думать» почти минуту. А теперь давайте посчитаем последствия для реального веб-сервера. Если злоумышленник отправит payload длиной всего в 50 символов (что легко помещается в любое стандартное поле ввода):

  • Разница между 30 и 50 символами — 20 шагов.

  • Это означает увеличение времени в 2^{20} раз (примерно в миллион раз).

  • 40 секунд \times 1 000 000 = 40 000 000 секунд.

  • Это около 1.2 лет непрерывной 100% загрузки одного ядра процессора на парсинг коротенькой строки.

Если ваше приложение написано на синхронном фреймворке (например, классический Django или Flask), из-за GIL (Global Interpreter Lock) этот процесс заблокирует рабочий поток. Парочка таких запросов — и все воркеры вашего веб-сервера (Gunicorn/uWSGI) будут заняты исключительно перебором букв «а». Легитимные пользователи начнут получать 502 Bad Gateway, а ваш сервер официально «ляжет».

5. Как защитить свой Python-код (и сервер)

Осознание того, что ваш сервер можно выключить одной строкой, обычно вызывает желание вообще отказаться от регулярок. Делать этого не нужно, достаточно соблюдать несколько правил гигиены.

Правило №1: Ограничение длины ввода (Sanity Check)

Это самое банальное, самое скучное и одновременно самое эффективное правило. ReDoS невозможен, если злоумышленник не может передать вам достаточно длинную строку для раскачки бэктрекинга.

Никогда не скармливайте регуляркам сырой, не проверенный по длине пользовательский ввод. Если вы ждете на вход username, проверьте его длину до вызова модуля re:

def validate_username(username):
    if len(username) > 50:
        return False # Отсекаем на подлете
    return bool(vulnerable_regex.match(username))

Это защитит вас от 99% брутфорс-атак на регулярки и сэкономит процессорное время.

Правило №2: Правильное написание регулярных выражений

Если вам все же нужно парсить длинные тексты, придется избавляться от «зла» — двусмысленности в паттернах.

Давайте починим нашу уязвимую регулярку из предыдущего примера: ^([a-zA-Z0-9]+\s?)+$

Проблема была в том, что пробел опционален, и движок не понимал, где заканчивается одно слово и начинается другое, если пробела нет. Правильный подход — описать структуру строго: «слово, за которым может следовать ноль или более повторений конструкции (пробел + слово)».

Безопасный вариант:

safe_regex = re.compile(r'^[a-zA-Z0-9]+(\s[a-zA-Z0-9]+)*$')

Здесь нет пересекающихся альтернатив. Если движок встречает пробел, он точно знает, что дальше обязано идти слово. Если слова нет — это гарантированный провал без попыток отката. Эта регулярка распарсит хоть мегабайт текста за доли секунды.

Правило №3: Использование альтернативных библиотек

Стандартный re в Python не обновлялся архитектурно очень давно. Если безопасность критична, стоит посмотреть в сторону сторонних решений.

1. Библиотека regex (Drop-in замена для re) Это мощный модуль, который поддерживает продвинутые фичи, отсутствующие в стандарте. Самая важная для нас — атомарные группировки (?>...) и посессивные квантификаторы ++. Суть атомарной группы в том, что как только движок нашел совпадение внутри нее, он «забывает» все точки возврата. Бэктрекинг для этой группы запрещается намертво.

2. Библиотека google-re2 (Абсолютная защита) Если вы парсите гигантские объемы неконтролируемого текста, используйте биндинги к C++ библиотеке re2 от Google. Это чистый DFA-движок. В нем физически нет механизма бэктрекинга, поэтому время выполнения строго гарантировано как O(N). С re2 уязвимость ReDoS невозможна по определению. Минус: DFA не поддерживает заглядывания (lookarounds) и обратные ссылки (backreferences). Если ваша регулярка завязана на них, re2 выдаст ошибку компиляции паттерна.

Правило №4: Не полагайтесь на тайм-ауты в Python

У многих разработчиков возникает резонная мысль: «А давайте просто обернем вызов re.match() в try/except с тайм-аутом! Если думает дольше секунды — убиваем».

В Python с модулем re это работает из рук вон плохо. Парсинг регулярного выражения происходит на уровне C-кода, который в процессе захватывает GIL (Global Interpreter Lock). Стандартные питоновские механизмы асинхронных тайм-аутов (например, asyncio.wait_for) просто не смогут прервать этот синхронный C-цикл. Поток будет заблокирован, пока регулярка не доработает.

Единственный способ гарантированно прервать зависшую регулярку в Python — это вынести ее в отдельный процесс через multiprocessing и убить процесс по тайм-ауту (или использовать signal.alarm, что работает только на Unix-системах и может привести к непредсказуемым побочным эффектам в многопоточных приложениях).

Но порождать тяжеловесный процесс ОС ради валидации одного email-адреса — это архитектурный «костыль», который сам по себе может положить сервер из-за исчерпания памяти (своеобразный самодельный DDoS). Поэтому решайте проблему на уровне алгоритма (Правило 2) или движка (Правило 3), а не пытайтесь бороться с последствиями.

6. Заключение

Регулярные выражения — это невероятно мощный и выразительный инструмент, без которого сложно представить современную бэкенд-разработку. Но классическое правило «с большой силой приходит большая ответственность» работает здесь на все сто процентов.

Мы часто привыкаем доверять стандартным библиотекам, воспринимая встроенный модуль re как безопасный черный ящик. Однако архитектурные особенности NFA-движков таковы, что малейшая алгоритмическая небрежность в написании паттерна способна превратить валидацию короткой строки в вычислительную катастрофу, которая положит вашу инфраструктуру.

Что стоит сделать прямо сейчас? Проведите аудит своих сервисов. Откройте код и посмотрите, как именно вы проверяете пользовательский ввод. Особое внимание уделите регуляркам, которые парсят:

  • Email-адреса (в сети гуляют сотни «универсальных» паттернов для email, многие из которых уязвимы к ReDoS).

  • Длинные URL-ссылки.

  • Номера телефонов и адреса.

  • Различные парсеры разметки (например, самописные конвертеры Markdown).

Убедитесь, что перед каждым вызовом регулярного выражения стоит банальный, но спасительный if len(input_string) > MAX_LENGTH.

Анонсы новых статей, полезные материалы, а так же если в процессе у вас возникнут сложности, обсудить их или задать вопрос по этой статье можно в моём Telegram‑сообществе. Смело заходите, если что‑то пойдет не так, — постараемся разобраться вместе.