我有一个ActiveJob触发系统脚本运行:
`grunt custom-job --src=files --dest="file" --vars='#{user_input_vars_from_json}'`
关键在于
user_input_vars_from_json
解决方法
我只想前言:任何用户输入都应该被视为危险的.我不建议使用用户提供的输入来执行任何命令.
你要做的第一件事是尽可能地锁定输入.考虑限制user_input_vars_from_json的长度,以防止缓冲区溢出和DoS攻击.我还建议尝试找出一种方法来验证和限制您尝试在user_input_vars_from_json JSON中设置的“vars”,以过滤掉任何不需要的键/值.
一旦您的输入被清除,您可以使用Kernel#system与Shellwords组合,尽可能靠近从您的工作执行您的命令:
require 'shellwords' system("grunt","custom-job","--src=files",'--dest="file"',"--vars=\"#{Shellwords.escape(user_input_vars_from_json)}\""
原文地址:https://www.jb51.cc/ruby/265858.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
