[英]Is ActiveSupport::CoreExtensions::String::Inflections.constantize safe to use with user-supplied data?
目前,我正在研究Rails應用程序。 我有不同的產品可以通過不同的供應商進行處理。 所有供應商都需要特定格式的文本文件才能處理訂單。
我決定使用Factory類生成Formatter類的實例,這些實例將以正確的格式呈現訂單信息。
在工廠類中,我正在考慮使用以下代碼:
class ExportFactory
def self.exporter_class_for_vendor(vendor_name)
class_name = "ProductExporter#{vendor_name}".gsub(' ','').camelize
class_name.constantize
end
end
在用戶提交的數據上使用ActiveSupport :: CoreExtensions :: String :: Inflections.constantize會保存嗎? 或者,我應該只是硬編碼類名。
注意:在此特定應用程序中,唯一能夠更改給定數據的用戶將是在整個系統中具有完全控制權的管理員用戶。
它應該是安全的,但這取決於你之后用它做什么。
例如,如果您稍后在類上調用#delete ,則File的輸入將是危險的。
我首選的方法是將所有用戶可訪問的類保留在模塊中,然后根據該模塊的#constants驗證用戶輸入。 這可以確保您只為用戶打開ruby命名空間的一個小子部分,並且還允許您創建下拉菜單,以便用戶可以選擇模塊,而不僅僅是猜測名稱。
提供這種相同安全級別的另一種方法是在用戶輸入的開頭為該模塊的名稱添加前綴,其中包含可用的類。
module AvailableClasses
Foo = ::Foo
Bar = ::Bar
end
validates_inclusion_of :user_input, :in => AvailableClasses.constants
AvailableClasses.const_get(user_input)
"AvailableClasses::#{user_input}".constantize
如何/在何處覆蓋ActiveSupport CoreExtensions字符串中定義的方法
[英]How/Where to override method defined in ActiveSupport CoreExtensions String
Rails 2.3.5:ActiveSupport CoreExtensions安裝問題
[英]Rails 2.3.5: ActiveSupport CoreExtensions install trouble
嘗試加載工作插件時出現“未初始化的常量ActiveSupport :: CoreExtensions”
[英]“uninitialized constant ActiveSupport::CoreExtensions” when trying to load workling plugin
Rails Active Storage:如何創建由用戶提供的坐標裁剪的“命名變體”
[英]Rails Active Storage: How to create "named variants" that are cropped by user-supplied coordinates
我可以使用類似於String#constantize的東西來初始化Hyperstack :: Component嗎?
[英]Can I use something along the lines of String#constantize to initialize a Hyperstack::Component?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.