Discussion :

[louvinon]

Bonjour,

dans le cadre de mon travail, j'ai développé une calculette qui utilise les réseaux de Petri pour créer des expressions mathématique au format string "(45 + 6.5) * 2 - 8 * (9 + 11)".

J'arrivais à évaluer cette expression en utilisant les classes CSharpCodeProvider, la réflection...

Sauf que finalement, il m'est absolument interdit de compiler à la volée dans les applications web .NET et je ne peux pas utiliser les appels à CompileAssemblyFrom* de vos sources C#.

J'ai besoin de votre aide si vous savez où je peux trouver une source qui permet de gérer cette évalution d'expression arithmétique.

Merci

[louvinon]

Sur plusieurs sites étrangers, ils proposent d'utiliser la méthode Eval du Javascript :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
---- Math.js -----------
class JsMath
{
static function Eval(MathExpression : String) : double
{
return eval(MathExpression);
};
}
------ Test.cs ----------
using System;
using System.Text;
 
class Test
{
static void Main(string[] args)
{
System.Console.WriteLine(JsMath.Eval("(1 + 2) * 8"));
}
}
----------------------
jsc /t:library Math.js
csc -r:Microsoft.JScript.dll -r:Math.dll test.cs

Je vais regarder ce que cela donne. Même si je préférai avoir un analyseur C#.

[B.AF]

Bonjour,

dans le cadre de mon travail, j'ai développé une calculette qui utilise les réseaux de Petri pour créer des expressions mathématique au format string "(45 + 6.5) * 2 - 8 * (9 + 11)".

J'arrivais à évaluer cette expression en utilisant les classes CSharpCodeProvider, la réflection...

Sauf que finalement, il m'est absolument interdit de compiler à la volée dans les applications web .NET et je ne peux pas utiliser les appels à CompileAssemblyFrom* de vos sources C#.

J'ai besoin de votre aide si vous savez où je peux trouver une source qui permet de gérer cette évalution d'expression arithmétique.

Merci

Dans le framework Spring, il y a un assemblage d'expressions qui se base sur antlr.
Ici.

[Bluedeep]

Sauf que finalement, il m'est absolument interdit de compiler à la volée dans les applications web .NET

Ah bon ? tu es sur ? même si c'est le cas, une solution très simple dans ce cas est de mettre un service à coté qui exposera une méthode ayant en entrée la formule et le résultat en sortie, fera cette compilation à la volée, exécutera la méthode compilée et retournera le résultat à ton web service.

[tomlev]

Ah bon ? tu es sur ? même si c'est le cas, une solution très simple dans ce cas est de mettre un service à coté qui exposera une méthode ayant en entrée la formule et le résultat en sortie, fera cette compilation à la volée, exécutera la méthode compilée et retournera le résultat à ton web service.

Non, il faut surtout pas utiliser la compilation à la volée si c'est l'utilisateur qui saisit la formule... il pourrait mettre n'importe quel code C# qui serait compilé et exécuté sur le serveur !!! C'est une monstrueuse faille de sécurité !

La solution avec le eval de javascript est sympa, j'aurais pas pensé...

[Bluedeep]

Non, il faut surtout pas utiliser la compilation à la volée si c'est l'utilisateur qui saisit la formule... il pourrait mettre n'importe quel code C# qui serait compilé et exécuté sur le serveur !!! C'est une monstrueuse faille de sécurité

N'exagérons pas. Il ne peut pas faire appel à des Assembly externes que tu n'as pas spécifiés. Cela restreint considérablement la portée de ton affirmation.

[B.AF]

Oui mais sur son domaine APS il ne pourra de toute façon pas utiliser CodeDom sans demander un niveau full trust de la part de l'assembly appellante et de son domaine d'application.

Donc même si tu as raison sur le fait que cela puisse ne pas être une faille de sécurité au sens décrit, c'en est une au niveau application.

C'est quasiment impossible de faire un site ASP.NET fulltrust.

[tomlev]

N'exagérons pas. Il ne peut pas faire appel à des Assembly externes que tu n'as pas spécifiés. Cela restreint considérablement la portée de ton affirmation.

Ben avec juste une référence à mscorlib (obligatoire, sinon tu peux rien faire...) tu peux déjà faire pas mal de dégâts... ça permet d'accéder aux fichiers, à la base de registre...

Evidemment, si c'est du web, l'application tourne avec un jeu de permissions plus restreint, mais le danger est quand même loin d'être nul...

[Bluedeep]

Ben avec juste une référence à mscorlib (obligatoire, sinon tu peux rien faire...) tu peux déjà faire pas mal de dégâts... ça permet d'accéder aux fichiers, à la base de registre...

Evidemment, si c'est du web, l'application tourne avec un jeu de permissions plus restreint, mais le danger est quand même loin d'être nul...

Si tu pars du principe que tu ne le mets pas a priori dans ton application mais dans un service à part, tu peux restreindre énormément les permissions, et factuellement bloquer toutes les actions potentiellement dommageables.

[louvinon]

Oui BAF, j'ai regardé pour le framework SPRING mais je pense pas être autorisé à l'employer. Je bosse au sein d'un organisme financier.

L'utilisation de la fonction Eval en Javascript marche très bien, mais il faut que je vois si je suis autorisé d'insérer une telle dll dans le projet.

J'aurai aimé trouver un développement d'analyseur c# qui convertisse simplement un string en résultat décimal.

[B.AF]

Oui BAF, j'ai regardé pour le framework SPRING mais je pense pas être autorisé à l'employer. Je bosse au sein d'un organisme financier.

L'utilisation de la fonction Eval en Javascript marche très bien, mais il faut que je vois si je suis autorisé d'insérer une telle dll dans le projet.

J'aurai aimé trouver un développement d'analyseur c# qui convertisse simplement un string en résultat décimal.

Je sais bien, mais spring est open source, donc tu as les sources, donc tu peux reprendre le moteur d'évaluation

[B.AF]

Ah bon ? tu es sur ? même si c'est le cas, une solution très simple dans ce cas est de mettre un service à coté qui exposera une méthode ayant en entrée la formule et le résultat en sortie, fera cette compilation à la volée, exécutera la méthode compilée et retournera le résultat à ton web service.

Si et seulement si full trust.

[PermissionSet(SecurityAction:emand, Name="FullTrust")] ==> Permissions du codedom (qu'il va utiliser pour faire son évaluation)