@H_404_1@我有一个ActiveJob触发系统脚本运行:
`grunt custom-job --src=files --dest="file" --vars='#{user_input_vars_from_json}'`
关键在于
user_input_vars_from_json
是一个来自控制器的用户输入参数的json配置.@H_403_9@我验证了json格式,但是如何确保没有有害代码发送到我的系统命令?
解决方法
我只想前言:任何用户输入都应该被视为危险的.我不建议使用用户提供的输入来执行任何命令.
你要做的第一件事是尽可能地锁定输入.考虑限制user_input_vars_from_json的长度,以防止缓冲区溢出和DoS攻击.我还建议尝试找出一种方法来验证和限制您尝试在user_input_vars_from_json JSON中设置的“vars”,以过滤掉任何不需要的键/值.
一旦您的输入被清除,您可以使用Kernel#system与Shellwords组合,尽可能靠近从您的工作执行您的命令:
require 'shellwords'
system("grunt","custom-job","--src=files",'--dest="file"',"--vars=\"#{Shellwords.escape(user_input_vars_from_json)}\""