ruby-on-rails – rails如何安全地从rails命令运行系统命令

前端之家收集整理的这篇文章主要介绍了ruby-on-rails – rails如何安全地从rails命令运行系统命令前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我有一个ActiveJob触发系统脚本运行:
`grunt custom-job --src=files --dest="file" --vars='#{user_input_vars_from_json}'`

关键在于

user_input_vars_from_json

是一个来自控制器的用户输入参数的json配置.
我验证了json格式,但是如何确保没有有害代码发送到我的系统命令?

解决方法

我只想前言:任何用户输入都应该被视为危险的.我不建议使用用户提供的输入来执行任何命令.

你要做的第一件事是尽可能地锁定输入.考虑限制user_input_vars_from_json的长度,以防止缓冲区溢出和DoS攻击.我还建议尝试找出一种方法来验证和限制您尝试在user_input_vars_from_json JSON中设置的“vars”,以过滤掉任何不需要的键/值.

一旦您的输入被清除,您可以使用Kernel#systemShellwords组合,尽可能靠近从您的工作执行您的命令:

require 'shellwords'
system("grunt","custom-job","--src=files",'--dest="file"',"--vars=\"#{Shellwords.escape(user_input_vars_from_json)}\""

猜你在找的Ruby相关文章