命令注入¶ ↑
一些 Ruby 核心方法接受包含要作为系统命令执行的文本的字符串数据。
不应使用未知或未净化的命令调用它们。
这些方法包括
-
`command`(反引号方法)(也通过表达式
%x[command]调用)。 -
IO.popen(当使用"-"之外的其他内容调用时)。
仅当给定的路径名称以 | 开头时,某些方法才会执行系统命令
-
URI.open(command)。
请注意,从子类 File 调用时,其中一些方法不会执行命令
一些 Ruby 核心方法接受包含要作为系统命令执行的文本的字符串数据。
不应使用未知或未净化的命令调用它们。
这些方法包括
`command`(反引号方法)(也通过表达式 %x[command] 调用)。
IO.popen(当使用 "-" 之外的其他内容调用时)。
仅当给定的路径名称以 | 开头时,某些方法才会执行系统命令
URI.open(command)。
请注意,从子类 File 调用时,其中一些方法不会执行命令