file access次のコードに対して警告が表示されます。
FileUtils.rm(File.join(Project.with_deleted.find_by(
:user_id => (User.find_by(:username => (params[:user_id])).id),
:name => (params[:id])
).satellitedir, params[:image_name]))
警告は次のとおりです。
ユーザー提供の入力に、ファイル アクセス API に渡される「..」または同様の文字が含まれている可能性がある場合、意図したサブディレクトリの外部にあるファイルへのアクセスが発生します。
私はparamsをサニタイズしようとしました:
if !params[:image_name].gsub(/\\/, '').index('../')
#my code
end
しかし、これはハキリ警告の警告には影響しないようです。