使用正确的参数转义从 ruby​​ 调用 shell 命令

发布于 2024-11-06 07:38:45 字数 195 浏览 2 评论 0原文

我想安全地执行以下操作

system "echo '#{params[:message]}' > /dev/log"

调用本机命令时转义参数的正确方法是什么?

(邪恶输入示例:'; rm -Rf *; echo '我赢了。

I want to do the following securely

system "echo '#{params[:message]}' > /dev/log"

What is the proper way for escaping arguments when calling a native command?

(Example evil input: '; rm -Rf *; echo 'I won.)

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

甜扑 2024-11-13 07:38:45

如果你

system "echo", params[:message]

这样做,那么第二个参数将作为参数发送,它将不会被执行。

If you do

system "echo", params[:message]

Then the second argument, will be sent as an argument, it will not be executed.

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文