問題タブ [brakeman]

一括割り当ては、アプリケーションがハッシュの値からレコードを作成できるようにする Rails の機能です。発生する可能性がある 2 つの異なる質量割り当て警告があります。1 つ目は、大量割り当てが実際に行われるときです。例：-

テーブルで使用可能なフィールドにマップするためにハッシュを直接使用していませんが。代わりに、私は次のようなことをしています:

また

これが大量割り当ての脆弱性につながるのはなぜですか? やみくもにハッシュを割り当てているわけではないので、テーブルのいくつかの属性のみを選択的に更新しています。

これを修正するには、次の手順を実行します。

しかし、これは不必要なコードを書いているようなもので、Brakeman はこれを問題として警告していません。これは実際には、1 行ではなく 4 行で同じことを行っています。

ここで実際の問題が何であるかを理解してもらうか、これが誤ったアラートであることを確認してください。また、この誤ったアラートの表示を防ぐ方法はありますか?

Ruby 1.8.7、Rails 2.3.2、Brakeman 3.0.5 を使用しています

アプリケーションでスキャン レポートを生成するために Brakeman を使用しました。信頼度の高いクロス サイト スクリプティングのセキュリティ警告が多数生成されました。それらの1つは次のとおりです。

以下に示すコントローラ メソッドでは、1 行目に上記の警告が表示されています。

リンクで見ましたが、修正できませんでした。助けてください。そして、これはコントローラーコードです:

私は Gemfile の外で Brakeman を実行しているので、バンドラーは使用していません。

もしそうならgem list、私はブレーキマンのために以下を持っていることがわかります

しかし、もしそうならbrakeman --version、私は得る

だから私は最新バージョンを使用していません。私がするgem update brakemanか、

私は得る

では、どのように Brakeman バージョン 3.3.3 を実行するのでしょうか?

最近アップグレードした後brakeman 3.3.5、2 つのファイルで同様の例外が発生しています。1つはapp/helpers/profile_mailer例外であり、

周囲のブロック以外をすべて削除すると、ファイルは次のようになります

私はまだ同じ例外を受け取ります。ファイル内のすべてを削除すると、次の例外が発生します。

stackoverflow を見ると、このようなエラーは Brakeman では報告されていませんが、他の多くのアプリでは報告されているようで、ruby 2.2(I am running 2.2.1) に関連しています。

このファイルのファイル許可は

これを修正するにはどうすればよいですか?

(残念ながら) Ruby 1.8.7 で記述されたコードのブレーキマン チェックを実行しようとしています。このビルド全体が壊れて、次のエラーが発生することがあります。

regexp buffer overflow While processing

ruby 1.8.7 ではバッファが 5460 程度のように見えることに気付きました。

アップデート：

このエラーは ruby​​ の StringScanner クラスによって発生します。掘り下げたところ、ここでエラーが発生していることがわかりました: https://github.com/sj26/ruby-1.9.3-p0/blob/master/ext/strscan/strscan.c#L444。このエラーが発生する原因を知っている人はいますか。さらに、テンプレートを導入した後、これが突然失敗したのはなぜですか?

私は Rails プロジェクトに取り組んでおり、デバッグ用のツールとして Brakeman を使用しています。テーブルからデータを取得するためにクエリを使用しましたが、Brakeman のテスト中に、クエリに Sql Injection Possibility があることが示されています。

これが私のクエリです：

しかし、このクエリの何が問題なのかわかりません。セキュリティで保護されていない場合、SQL インジェクションを防ぐにはどうすればよいですか?

Brakeman's Tool でコードをスキャンすると、警告メッセージが表示されます。次のクエリへのスコープ外の呼び出しがあることを示しています。

実際のエラー メッセージは次のとおりです。

しかし、上記のクエリを次のクエリに置き換えると、問題ありません。

最初のクエリの何が問題なのかわかりません。