当使用contantize时，我正试图解决ruby​​/rails中的远程代码执行漏洞。我知道能够向服务器提供任何类名可能存在潜在危险，但我想知道这本身是否危险。例如，如果RailsController代码看起来像这样(即在实例化对象上执行硬编码方法):klass=params[:class].classify.constantizeklass.do_something_with_id(params[:id])ifklass.respond_to?('do_something_with_id')此代码易受攻击吗？还是只能结合指定要在类上调用的方法？ 最佳答案

这个问题在这里已经有了答案:PrintingthesourcecodeofaRubyblock(6个答案)Rubyblocktostringinsteadofexecuting[duplicate](3个答案)关闭8年前。这可能吗？defblock_to_s(&blk)#codetoprintblockscodehereendputsblock_to_sdostr="Hello"str.reverse!printstrend这会将以下内容打印到终端:str="Hello"str.reverse!printstr

昨天有人问splat运算符，我想看源代码……是用C写的还是Ruby写的？在哪里可以找到？ 最佳答案 一些快速的谷歌搜索显示它是在eval.c中实现的。.您可以在文件中的几个地方找到对“splat”的引用，但我对Ruby的内部工作原理还不够熟悉，无法理解它。 关于Ruby，Splat的源代码？，我们在StackOverflow上找到一个类似的问题： https://stackoverflow.com/questions/921403/

我正在为我的网络应用程序使用Sinatra。当我的应用程序关闭时，我有一些要执行的清理代码。Sinatra中是否有针对此的Hook，还是我必须使用单独的机制？ 最佳答案 看Kernel#at_exit，如果您在主应用程序文件中的某处定义这样的block，我不明白为什么它不能在Sinatra应用程序中工作。更新:根据matt的评论，您必须在要求Sinatra之前定义您的at_exit处理程序。 关于ruby-当应用程序关闭时，我要在Sinatra中的什么位置放置要执行的代码？，我们在Sta

我正在使用devise进行身份验证，但是当我实现您的方法时，我得到“未经授权的连接尝试被拒绝”经过几个小时的搜索，我发现:cookies.signed['user.id']返回零。在以下代码块中。deffind_verified_userifverified_user=User.find_by(id:cookies.signed['user.id'])verified_userelsereject_unauthorized_connectionendend我查了一下，确实有cookie，但是里面没有Devise设置的cookie数据。为了检查“user.id”是否真的设置了，我在Vie

这个问题在这里已经有了答案:Rubyobfuscator[duplicate](3个答案)关闭9年前。我必须混淆ruby​​代码以隐藏敏感源。我需要朝着正确的方向前进才能实现我想要的，所以:是否有Python的pyc的Ruby替代品？，我在许多gem中看到了version.rbc文件。它是如何产生的？此过程是否适用于其他(复杂的，而不仅仅是简单的版本声明)类型的Ruby文件？RubyEncoder可以完成这项工作(可以吗？帮我解决这个问题)，但它需要购买许可证。这就是为什么我会将其视为最后的手段。任何其他建议

我正在尝试对日期执行减法运算。date_sent=Date.parse("2013-01-01")#=>Tue,01Jan2013date_now=Date.today#=>Wed,04Sep2013days=(date_now-date_sent)#=>(246/1)为什么date_now-date_sent返回一个Rational类型？ 最佳答案 这是预期的行为。来自docs:d-other→dateorrationalDate.new(2001,2,3)-1#=>#Date.new(2001,2,3)-Date.new(200

我不明白导入库或模块的三种方法之间的区别。据我目前的了解，load'file.rb'会将外部文件的内容导入当前文件而:require'file.rb'将执行相同的功能，但不会导入已经导入的文件。require_relative'file.rb'类似于require，但它将加载仅在当前目录中的文件，而require将使用搜索路径$:试图找到该文件。我毫不怀疑我对这三种机制的理解是有缺陷的。谁能提供一些说明？ 最佳答案 load在您想要导入文件时使用，无论它是否已经导入。require或require_relative仅当您想要导入尚未

看起来不像一个普通的Ruby类，那么它到底是什么呢？一个大的Ruby“block”，一些被解析的自定义元语言？只是好奇。我知道您可以在Fastfile中使用Ruby；该范式达到了多远，您可以在Fastfile中定义类或函数，还是必须仅保留faSTLane支持的“channel”概念？ 最佳答案 Doesn'tlooklikeastraightRubyclass不是一个类，不是。但仍然是普通的ruby。有点DSL魔法。这意味着您可以自由地定义类或以其他方式做任何您想做的事情，只要您仍然正确配置faSTLane(调用lane方法等等)。

我意识到这听起来有点疯狂，但我正在做一个项目，我需要一个服务器来运行用户提供的Ruby代码并返回结果。我想防止这样的事情发生:system("rm-rf/")eval("something_evil")#etc...我确信一定有一些相当安全的方法可以做到这一点，因为它已经存在于tryruby.org等地方。非常感谢任何帮助，谢谢! 最佳答案 三个建议:1)看看Rubytaintlevels.这提供了一定程度的保护，防止eval('evil_code')类型的东西，等等。2)除非用户确实需要访问本地文件系统，否则请使用类似fakefs