thr3a https://blog.hatena.ne.jp/thr3a/ 動かざることバグの如し https://blog.turai.work/ ruby まとめ Ruby 2.6以前ではFile.read()の引数に|から始める文字列を渡すと、それがそのままコマンドとして実行されてしまう ので、WEBアプリケーションで第三者から受け取ったパラメータをFile.read()に渡すのはセキュリティ的に危険 Ruby 2.6.0で修正されたので今後は大丈夫 どういうことか ちょうどRubyKaigi2019の講演聞いている最中の話。実際に挙動を見てみる ~ $ruby -v ruby 2.5.1p57 (2018-03-29 revision 63029) [x86_64-darwin18] ~ $irb irb(main):001:0> File.… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fblog.turai.work%2Fentry%2F20190419%2F1555645699" title="RubyでFile.read()を使うときは注意が必要だった（過去形） - 動かざることバグの如し" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2019-04-19 12:48:19 rich https://blog.turai.work/entry/20190419/1555645699 1.0 100%