使用正确的参数转义从 ruby 调用 shell 命令
我想安全地执行以下操作
system "echo '#{params[:message]}' > /dev/log"
调用本机命令时转义参数的正确方法是什么?
(邪恶输入示例:'; rm -Rf *; echo '我赢了。
)
I want to do the following securely
system "echo '#{params[:message]}' > /dev/log"
What is the proper way for escaping arguments when calling a native command?
(Example evil input: '; rm -Rf *; echo 'I won.
)
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(1)
如果你
这样做,那么第二个参数将作为参数发送,它将不会被执行。
If you do
Then the second argument, will be sent as an argument, it will not be executed.