ruby-on-rails – rails如何安全地从rails命令运行系统命令
发布时间:2020-12-16 22:34:24 所属栏目:百科 来源:网络整理
导读:我有一个ActiveJob触发系统脚本运行: `grunt custom-job --src=files --dest="file" --vars='#{user_input_vars_from_json}'` 关键在于 user_input_vars_from_json 是一个来自控制器的用户输入参数的json配置. 我验证了json格式,但是如何确保没有有害代码发
|
我有一个ActiveJob触发系统脚本运行:
`grunt custom-job --src=files --dest="file" --vars='#{user_input_vars_from_json}'`
关键在于 user_input_vars_from_json 是一个来自控制器的用户输入参数的json配置. 解决方法
我只想前言:任何用户输入都应该被视为危险的.我不建议使用用户提供的输入来执行任何命令.
你要做的第一件事是尽可能地锁定输入.考虑限制user_input_vars_from_json的长度,以防止缓冲区溢出和DoS攻击.我还建议尝试找出一种方法来验证和限制您尝试在user_input_vars_from_json JSON中设置的“vars”,以过滤掉任何不需要的键/值. 一旦您的输入被清除,您可以使用Kernel#system与Shellwords组合,尽可能靠近从您的工作执行您的命令: require 'shellwords'
system("grunt","custom-job","--src=files",'--dest="file"',"--vars="#{Shellwords.escape(user_input_vars_from_json)}""
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |