所以我有一个包含不同代码示例的数据库(阅读 sn-ps)。 代码示例由用户创建。 Rails 中有没有办法执行它?
例如,我的数据库中有以下代码(id=123):
return @var.reverse
有没有办法让我执行它?比如:
@var = 'Hello'
@result = exec(CodeSample.find(123))
所以结果是'olleH'
【问题讨论】:
标签: ruby-on-rails ruby scripting
你可以使用eval:
code = '@var.reverse'
@var = 'Hello'
@result = eval(code) # => "olleH"
但是这样做要非常小心;您正在授予该代码对系统的完全访问权限。试试eval('exit()') 看看会发生什么。
【讨论】:
对于eval 的答案(这是正确的),我要补充:给你一份 Pickaxe Book 的副本(Programming Ruby 或 Programming Ruby 1.9,取决于你的 Ruby 版本)并阅读名为 “将 Ruby 锁定在保险箱中。” 这一章全部是关于 Ruby 的安全级别和受污染的对象,本章开头正是你的用例以及为什么你需要对此保持偏执.
【讨论】:
如果您的用例非常有限或限制用例,您还可以使用另一种方法。
我不得不使用这种方法来允许用户动态指定相对时间,例如3.months.ago
我使用正则表达式来清理用户的输入,就像这样
PERMITTED_OPERATIONS = /^\{\%([1-9]\.(day|year|month|hour|minute)(s\.|\.)ago|Time\.now)\%\}$/
def permit?(operation)
return !PERMITTED_OPERATIONS.match(operation.to_s).nil?
end
您也可以扩展正则表达式以允许 from_now 或为允许的操作创建一个正则表达式数组并对其进行循环。
欢迎任何采用这种方法的 cmets。
【讨论】:
^[1-9]{1,2}\.(day|year|month|hour|minute)(s\.|\.)ago$我很确定你想逃避你的月经?