レールでコマンド注入を削除する

Question

ImageMagickを使用するヘルパーがあり、コマンドラインにzbarを適用してイメージからQRデータを抽出します。画像ソースはパラメトリックでなければなりません。

qr_code_data = %x(zbarimg -q #{src}) 

brakemanは明らかに、ここで私にcommand injection警告を与えます。 backticksのみを使用すると、同じ警告が表示され、systemは必要な結果を生成しますが、出力ではなくtrueを返します。 QRデコードラッパー/ gem、Open3を使用したくありません。私は、私が言及した2つのオプションを使用する以外は、コマンドインジェクションを避けるためのパラメータとして画像ソースをサニタイズできるかどうかを知る必要があります。

Answer 1

ImageMagickは一般的にSTDINを入力に使用することをサポートしています。 IO.popenは、サブプロセスのstdinをファイルの内容に置き換えることをサポートしています。次のことを試してみてください。

qr_code_data = "" 
IO.popen(['zbarimg','-q','png:-'], :in=>[src]) do |pipe| 
    qr_code_data = pipe.read 
end 

ImageMagickには入力のマジックナンバーからファイルの種類を決定できるようにするために、あなたの実際の画像フォーマットで上記pngを交換するか、完全にを削除します。