命令注入¶ ↑
一些 Ruby 核心方法接受包含要作为系统命令执行的文本的字符串数据。
不应使用未知或未清理的命令调用它们。
这些方法包括
-
`command` (反引号方法) (也由表达式
%x[command]调用)。 -
IO.popen(当使用"-"以外的参数调用时)。
一些方法仅在给定的路径名以 | 开头时才执行系统命令
请注意,当从子类 File 调用时,其中一些方法不执行命令
一些 Ruby 核心方法接受包含要作为系统命令执行的文本的字符串数据。
不应使用未知或未清理的命令调用它们。
这些方法包括
`command` (反引号方法) (也由表达式 %x[command] 调用)。
IO.popen(当使用 "-" 以外的参数调用时)。
一些方法仅在给定的路径名以 | 开头时才执行系统命令
请注意,当从子类 File 调用时,其中一些方法不执行命令