命令注入
一些 Ruby 核心方法接受包含要作为系统命令执行的文本的字符串数据。
不应使用未知或未经验证的命令调用它们。
这些方法包括
-
‘command`(反引号方法)(也通过表达式
%x[command]调用)。 -
IO.popen(当调用参数不是"-"时)。
一些方法仅当给定路径名以 | 开头时才执行系统命令
请注意,其中一些方法在从子类 File 调用时不会执行命令
一些 Ruby 核心方法接受包含要作为系统命令执行的文本的字符串数据。
不应使用未知或未经验证的命令调用它们。
这些方法包括
‘command`(反引号方法)(也通过表达式 %x[command] 调用)。
IO.popen(当调用参数不是 "-" 时)。
一些方法仅当给定路径名以 | 开头时才执行系统命令
请注意,其中一些方法在从子类 File 调用时不会执行命令