如何在Ruby中拯救eval？

在Ruby中，eval 是一个强大的功能，它允许您执行任何字符串中的代码。然而，由于安全风险，不建议在生产环境中使用 eval。如果您确实需要使用 eval，可以考虑以下方法来提高安全性：

使用 Binding.eval 或 Module.module_eval 或 Object.instance_eval 代替 Kernel.eval，以限制代码执行的作用域。

class SafeEval
  def self.safe_eval(code)
    module_eval(code)
  end
end

使用 SecureRandom.uuid 生成一个随机的安全令牌，并在 eval 之前验证代码中是否包含该令牌。

require 'securerandom'

def safe_eval(code)
  token = SecureRandom.uuid
  raise "Invalid code" unless code.include?(token)

  code = "#{token};#{code};#{token}"
  eval(code)
end

使用 RubyVM::InstructionSequence.compile 将字符串编译为指令序列，然后使用 eval 执行指令序列。

require 'rubyvm/instruction_sequence'

def safe_eval(code)
  iseq = RubyVM::InstructionSequence.compile(code)
  iseq.eval
end

使用 Binding.receiver 或 Binding.local_variable_get 和 Binding.local_variable_set 访问和修改局部变量。

def safe_eval(code)
  binding.eval(code)
end

请注意，这些方法并不能完全保证安全性，因此在生产环境中使用 eval 仍然存在严重的安全风险。在实际开发中，您应该尽量避免使用 eval，并寻找更安全、更可靠的替代方案。

相关·内容

eval在python中是什么意思_如何在Python中使用eval ？

Python中的 eval是什么？在Python中，我们有许多内置方法，这些方法对于使Python成为所有人的便捷语言至关重要，而eval是其中一种。...File “”, line 1 Not number ^ SyntaxError: unexpected EOF while parsing 如您所见，eval函数能够识别字符串中的表达式并将其转换为相应的类型...如何在python中使用eval ？在上一节中，我们已经了解了如何使用eval函数，但是在这里，我们将了解eval函数的其他参数如何影响其工作。...‘num2’ is not defined 如您在上面的示例中看到的，首先eval只能访问num1和num2，但是当我从globals字典中删除num2时，它抛出了一个错误，因为它现在无法识别num2...如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至举报，一经查实，本站将立刻删除。

3.3K6 0

如何在keras中添加自己的优化器(如adam等)

tensorflow-gpu\Lib\site-packages\tensorflow\python\keras 3、找到keras目录下的optimizers.py文件并添加自己的优化器找到optimizers.py中的...# 传入优化器名称: 默认参数将被采用 model.compile(loss=’mean_squared_error’, optimizer=’sgd’) 以上这篇如何在keras中添加自己的优化器...(如adam等)就是小编分享给大家的全部内容了，希望能给大家一个参考。

44.9K3 0

【DB笔试面试511】如何在Oracle中写操作系统文件，如写日志？

题目部分如何在Oracle中写操作系统文件，如写日志？答案部分可以利用UTL_FILE包，但是，在此之前，要注意设置好UTL_FILE_DIR初始化参数。...image.png 其它常见问题如下表所示：问题答案 Oracle中哪个包可以获取环境变量的值？可以通过DBMS_SYSTEM.GET_ENV来获取环境变量的当前生效值。...在CLIENT_INFO列中存放程序的客户端信息；MODULE列存放主程序名，如包的名称；ACTION列存放程序包中的过程名。该包不仅提供了设置这些列值的过程，还提供了返回这些列值的过程。...如何在存储过程中暂停指定时间？ DBMS_LOCK包的SLEEP过程。例如：“DBMS_LOCK.SLEEP(5);”表示暂停5秒。 DBMS_OUTPUT提示缓冲区不够，怎么增加？...如何在Oracle中写操作系统文件，如写日志？可以利用UTL_FILE包，但是，在此之前，要注意设置好UTL_FILE_DIR初始化参数。

28.8K3 0

如何在Ubuntu 18.04上使用rbenv安装Ruby on Rails

具有不同版本号的命令，如rbenv install 2.3.0和rbenv global 2.3.0。...通过rehash子命令，rbenv在该目录中维护填充程序，以匹配服务器上每个已安装的Ruby版本的每个Ruby命令。...每当你安装新版本的Ruby或提供命令的gem（如Rails）时，你应该运行： rbenv rehash 使用以下命令打印其版本，验证是否已正确安装Rails： rails -v 如果安装正确，您将看到已安装的...第六步 - 卸载Ruby版本当您下载其他版本的Ruby时，您可能会累积比~/.rbenv/versions目录中更多的版本。...为此，首先在编辑器中打开~/.bashrc文件： nano ~/.bashrc 在文件中查找并删除以下两行： ... export PATH="$HOME/.rbenv/bin:$PATH" eval

6.2K5 0

《JetBrains产品插件安装与使用指南》——提升你的开发效率

File -> Settings… 图片点击右边齿轮 -> Manage Plugin Repositories… 图片点击＋填写https://plugins.zhile.io 搜索：IDE Eval...也可以手动唤出插件的主界面，如果 IDE 没有打开项目，点击齿轮 -> Eval Reset 图片如果 IDE 打开了项目，点击菜单：Help -> Eval Reset 图片唤出的插件主界面中包含了一些显示信息...用于开发数据库和 SQL GoLand：用于开发 Golang PhpStorm：用于开发 PHP PyCharm：用于开发 Python Rider：用于开发 .NET RubyMine：用于开发 Ruby.../Rails WebStorm：用于开发 Javascript/TypeScript、HTML5、CSS3 等前端今日学习总结: 在今天的学习中，我们了解了JetBrains系列产品插件的安装和使用方法...首先，我们学习了如何在JetBrains产品中安装插件，包括添加插件仓库和搜索安装插件的步骤。接着，我们详细介绍了插件的使用方式，包括手动触发事件和通过插件主界面进行操作。

2671 0

在CVM上使用rbenv安装RoR

echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.bashrc echo 'eval "$(rbenv init -)"' >> ~/.bashrc 接下来...#" -gt 0 ]; then shift; fi; case "$command" in rehash | shell) eval...作为一个例子，让我们安装Ruby版本2.3.3： rbenv install 2.3.3 如果要安装和使用其他版本，请使用不同的版本号运行命令，如rbenvrbenv install 2.3.0和rbenv...通过rehash子命令，rbenv在该目录中维护填充程序，以匹配服务器上每个已安装的Ruby版本的每个命令。...卸载Ruby版本当您下载更多版本的Ruby时，~/.rbenv/versions目录中可能会有很多残留文件。使用ruby-build插件子命令自动执行删除。

3.7K8 0

在MacOS上安装配置Mongodb

Fedora 认定 SSPL 不是一个自由软件许可，红帽和 Debian 也宣布从发行版中删除 MongoDB。日前，macOS 包管理器 Homebrew 也宣布移除 MongoDB。...下面我们介绍一下，如何在 MacOS 上安装配置 Mongodb。一、安装 Homebrew 在 macOS 终端中输入下面的命令，安装 Homebrew。如果已经安装，请跳过这一步。.../usr/bin/ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" 二、...安装 Mongodb 在 macOS 终端中输入下面的命令，安装 MongoDB 4.2.x。...手动模式启动 Mongodb mongod --config /usr/local/etc/mongod.conf 停止 Mongodb mongo admin --eval "db.shutdownServer

1.7K2 0

Mac上的JDK多版本管理

我如何在不同的版本中随意切换呢？比如像Node的nvm，Ruby的rvm，Python的pyenv等。答案是我们可以通过jenv来实现相同的效果。...： cat eval "$(jenv init -)" >> /Users/xxx/.zshrc cat: eval: No such file or directory cat: export PATH...Bash用户 $ echo 'export PATH="$HOME/.jenv/bin:$PATH"' >> ~/.bash_profile $ echo 'eval "$(jenv init -)"'...JENV_VERSION environment variable) 1.8.0.191 13 openjdk64-13 oracle64-1.8.0.191 默认情况下，system指的是系统中安装的最新版本的...会在当前目录下创建一个.java-version的文件： $ jenv local 1.8 $ exec $SHELL -l $ java -version Shell 设置当前Shell session中的

8462 0

在云Web IDE里用rbenv创建ruby虚拟执行环境

Web IDE中自带的Ruby是3.x 版本，有些应用是运行不了的。...$ echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.bashrc $ echo 'eval "$(rbenv init -)"' >> ~/.bashrc...编辑切换为居中切换到指定版本 rbenv global 2.7.1 eval "$(rbenv init -)" 因为是Web IDE是Zsh，需要在~/.zprofile 如果shell用的是zsh..., eval "$(rbenv init -)" 这句要放到 zprofile中。...编辑切换为居中 .zprofile 如果用的是Bash就放到Bash的配置文件中，这样打开新终端窗口的时候，ruby就跳到虚拟环境中。

1.1K2 0

时间老去,Ruby不死,Ruby语言基础入门教程之Ruby3全平台开发环境搭建

"$(/opt/homebrew/bin/brew shellenv)"' >> ~/.zprofile eval "$(/opt/homebrew/bin/brew shellenv)" 反之...，bash终端则输入如下命令： echo 'eval "$(/opt/homebrew/bin/brew shellenv)"' >> ~/.bash_profile eval "$(/opt/homebrew...接下来我们来安装Ruby3，业界比较主流的安装方式大抵两种：rvm或者rbenv，这里我们使用rbenv，它其实就是一个类似python中conda一样的多版本管理软件包，可以方便一些老项目以低版本ruby...运行，比如ruby1.9： brew install ruby-build rbenv 之后将rbenv命令添加到zsh命令行的环境变量中： echo 'if which rbenv > /dev...最后，谨以此系列教程献给司徒正美兄，我的Ruby领路人，真正的Ruby高手，大神中的大神，正道是：司徒正美成绝响，人间不见Ruby's Louvre。

8261 0

SSTImap：一款带有交互式接口的自动化SSTI检测工具

并且支持Python、Python、Ruby、PHP、Java和通用的未标记模板引擎中类似eval()的代码注入。 ...接下来，我们可以使用下列命令将该项目源码克隆至本地： git clone https://github.com/vladko312/SSTImap.git （向右滑动，查看更多）然后切换到项目目录中，...()注入，列表如下：引擎远程代码执行盲注代码评估文件读取文件写入 Mako ✓ ✓ Python ✓ ✓ Jinja2 ✓ ✓ Python ✓ ✓ Python (code eval) ✓...) ✓ ✓ JavaScript ✓ ✓ Dust (<= dustjs-helpers@1.5.0) ✓ ✓ JavaScript ✓ ✓ EJS ✓ ✓ JavaScript ✓ ✓ Ruby (code...eval) ✓ ✓ Ruby ✓ ✓ Slim ✓ ✓ Ruby ✓ ✓ ERB ✓ ✓ Ruby ✓ ✓ Smarty (unsecured) ✓ ✓ PHP ✓ ✓ Smarty (secured

1.2K2 0

Redis 多数据库2

名称空间在不同库中设定的内容，并不会冲突 127.0.0.1:6379> select 10 OK 127.0.0.1:6379[10]> set a test OK 127.0.0.1:6379[...gem [root@h102 ruby]# ruby -v ruby 2.3.0p0 (2015-12-25 revision 53290) [x86_64-linux] [root@h102 ruby...type, :sort, :id, :select, :synchronize, :dump, :config, :restore, :scan, :exec, :sync, :echo, :time, :eval..., :instance_eval, :instance_exec, :__id__] 2.3.0 :006 > redis.methods.grep /set/ => [:set, :setex,...到时候依然得去那个库中取 ---- 命令汇总 .

2303 0

最近 Python 有点火? 给你 7 个学习它的理由！

我写下这篇短文的目的就是要将你从同样的痛苦中拯救出来，让你明白为什么需要去了解 Python。 01 Python 易于学习好吧，相较于其它许多你可以拿来用的编程语言而言，它“更容易一些”。...我的经验是，通过实例来学习和教授 Python 要比采取同样的方式去接触比方说 Ruby 或者 Perl 更加容易，因为 Python 的语法里面条条框框以及特殊的处理场景要少得多。...RubyPython, 同 Ruby 集成的 Python 版本。总结并没有很多的语言能提供像 Python 这样的多样性和简洁性; 能持续努力演进并让社区繁荣好几十年的就更少了。...推荐：Python数据挖掘实战班本课程以Python编程入手，在此基础上学习python机器学习算法的数理基础，以及算法在类库中的实现与应用。...课程以案例为驱动，现场演示如何在真实数据集上通过具体的算法完成相应数据挖掘工作。阅读原文了解详

6516 0

python入门基础

如print等如下是python3的33个保留字列表： ? ~变量名要简单又具有描述性。如name比n好，user_name比u_n好。 ~慎用大写字母I和O，避免看错成数字1和0。...这种灵活性能够在字符串中包含引号和撇号，如： >>> str = "I'm David" >>> str1 = 'I told my friend,"i love Python"' 常用字符串操作方法...L中 >>> L;L1 ['C', 'JavaScript', 'Java', 'Ruby', 'Lua']['C', 'Go']>>> L+=L1>>> L;L1['C', 'JavaScript',...', 'Ruby', 'Lua', 'C', 'Go', 'Python'] L.pop(i) 将列表L中的第i项元素删除 >>> L;L.pop(2);['C', 'JavaScript', 'PHP...(x) 将列表L中的元素反转 >>> L;L.reverse();L['JavaScript', 'Java', 'Ruby', 'Lua', 'C', 'Go', 'Python']['Python'

2.3K7 0

GitLab平台太单调? 配置Pipeline流水线，装上这个流水线“瀑布灯”！

Custom Runner:支持使用其他脚本语言如Python、Ruby来自定义Runner,提高扩展性。 Group Runner:顾名思义,是面向特定组织或组内项目统一提供服务的Runner。...可以动态扩展,灵活调度资源需要准备Kubernetes集群环境 Custom 自定义脚本语言,如Python、Ruby来运行jobs 根据脚本语言的运行时高度灵活,可自定义编程语言需要自行开发自定义的...例如: image: ruby:2.6 services: - mysql 作业定义每个作业至少包含 script 定义。...我们可以设置环境变量：图片之后，在编写时候调用：图片 Demo: 部署VitePress 接下来，我们演示一下如何在Pipeline部署我们的VitePress。...ssh-agent || ( apt-get update -y && apt-get install openssh-client -y )' - mkdir -p ~/.ssh - eval

2.1K0 0

python基础知识入门_python新手学院

如print等如下是python3的33个保留字列表： ~变量名要简单又具有描述性。如name比n好，user_name比u_n好。 ~慎用大写字母I和O，避免看错成数字1和0。...这种灵活性能够在字符串中包含引号和撇号，如： >>> str = "I'm David" >>> str1 = 'I told my friend,"i love Python"' 常用字符串操作方法...L中 >>> L;L1 [‘C’, ‘JavaScript’, ‘Java’, ‘Ruby’, ‘Lua’][‘C’, ‘Go’]>>> L+=L1>>> L;L1[‘C’, ‘JavaScript’,...’, ‘Ruby’, ‘Lua’, ‘C’, ‘Go’, ‘Python’] L.pop(i) 将列表L中的第i项元素删除 >>> L;L.pop(2);[‘C’, ‘JavaScript’, ‘PHP...(x) 将列表L中的元素反转 >>> L;L.reverse();L[‘JavaScript’, ‘Java’, ‘Ruby’, ‘Lua’, ‘C’, ‘Go’, ‘Python’][‘Python’

2.7K2 0

heredoc细节妙用

Here文档 here文档，又称作heredoc、hereis、here-字串或here-脚本，是一种在命令行shell（如sh、csh、ksh、bash、PowerShell和zsh）和程序语言（像Perl...、PHP、Python和Ruby）里定义一个字串的方法。...shell 在以下几个例子中，文字用here文档传递给 tr命令。...这允许在shell脚本中缩进here文档而不改变它们的值。（注意在命令行上可能会需要输入 Ctrl-v TAB来真正地输入一个制表符。下边的例子用空格模拟制表符；不要复制粘贴。）...因为eval引入了一个子结构，这样 eval... 作为一个整体来接受输入，不管它是 heredoc 还是别的字串，比如也可以是一个文件重定向（eval 'var=`cat`' < file）。 #!

6475 0

常见编程语言对REPL支持情况小结

编程术语 REPL （Read-Eval-Print Loop）中文的话有翻译成“交互式解释器”或“交互式编程环境”的。...下面是对 REPL 的解释： A Read-Eval-Print-Loop (REPL) is available both as a standalone program and easily includable...交互式解释器（REPL）既可以作为一个独立的程序运行，也可以很容易地包含在其他程序中作为整体程序的一部分使用。...Ruby 官方实现就带REPL，只是命令是irb，意思是Interactive Ruby Shell，而不是ruby。exit()，quit()命令都可以退出。...C++ cling，有Mac版本直接下载，不过运行的方式有些诡异，那就是在解压后的目录中运行.

1.5K4 0

如何在 Ubuntu 20.04 上安装 Ruby

这是在 Ubuntu 上安装 Ruby 最简单的方式，并且应该适合大部分用户场景。包含在 Ubuntu 源仓库中的 Ruby 版本是2.7.0。使用 Rbenv。...在写作本文的时候，Ubuntu 源仓库中 Ruby 的版本是2.7.0，这是一个最新的稳定版本。安装非常简单直接。...如果你正在使用 Bash echo 'export PATH="$HOME/.rbenv/bin:$PATH"' >> ~/.bashrc echo 'eval "$(rbenv init -)"' >...Rbenv 允许你设置 shell，本地和全局的 Ruby 版本： shell 版本在当前的 shell 中可用，拥有最高优先级。...当你运行一个 Ruby 脚本，rbenv 在当前以及所有父目录中搜索这个文件。它使用第一个找到的文件作为 Ruby 版本。

4.7K4 0

Black Hat Europe 2017：安全专家发现5款最流行编程语言中的漏洞

这位专家表示他使用了自动化的模糊测试工具在解释器中对五种编程语言进行了测试：JavaScript，Perl，PHP，Python和Ruby。...目前比较流行的测试工具（如AFL和Peach）通常需要在寻找漏洞的时候的时候采用相同的逻辑，而这些工具无法存储执行过的测试用例的信息。...在这次测试中，我们的的输入中主要使用了不到 30 种的原始数据类型，但也有一些特别的payload。这些特别的payload 是用于测试程序获取外部数据资源时是否会出现问题。...测试结果：均暴露出问题而从他的测试结果来看，我们确实可以看到JavaScript、PHP、Ruby、Perl、Python分别在经历了多项测试之后，暴露出来了哪些问题。...Python中存在可用于OS命令执行的未记录方法和本地环境变量。 Perl 中有一种可执行如 eval() 的 typemap 函数。 NodeJS 中输出的错误信息会泄露部分文件内容。

8238 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云