rails如何安全地从rails命令运行系统命令

Question

我有一个触发系统脚本运行的ActiveJob：

 `grunt custom-job --src=files --dest="file" --vars='#{user_input_vars_from_json}'`

重点是

user_input_vars_from_json

是一个json配置，它是来自控制器的用户输入参数。

Answer 1

我只想以:任何用户输入都应该被视为危险的。我不建议使用用户提供的输入执行任何命令。

你要做的第一件事就是尽可能地锁定输入。考虑限制user_input_vars_from_json的长度以防止缓冲区溢出和DoS攻击。我还建议找出一种方法来验证和限制您试图在user_input_vars_from_json JSON中设置的"vars“，以过滤掉任何不需要的键/值。

清理输入后，您可以结合使用Kernel#system和Shellwords，以便在作业中执行命令时尽可能接近安全：

require 'shellwords'
system("grunt", "custom-job", "--src=files", '--dest="file"', "--vars=\"#{Shellwords.escape(user_input_vars_from_json)}\""