В моем приложении пользователи могут загружать файлы csv, которые я не храню в прямом месте, они только разобраны, поэтому мой класс импортера получает объект ActionDispatch :: Http :: UploadedFile, а затем я вызываю #tempfile
, чтобы получить доступ к tempfile и проанализировать его.Загрузка файлов, tempfile и уязвимостей
Должен ли я позаботиться обо всех уязвимостях, перечисленных в the "File Uploads" section of guides?
я передать Params [: файл] .pathfile импортеру: [ClockworkTomatoImporter] (https://github.com/ravicious/tomatostats/blob/77936ccab63f6e04446bfbe5ec030018ecc190e6/app/importers/clockwork_tomato_importer.rb) <[Импортер] (https://github.com/ravicious/tomatostats/blob/77936ccab63f6e04446bfbe5ec030018ecc190e6/app/importers/importer.rb), [import_controller] (https://github.com/ravicious/tomatostats/blob/77936ccab63f6e04446bfbe5ec030018ecc190e6/app/controllers/imports_controller .rb). –
Что касается перемещения синтаксического анализа веб-запроса: да, это определенно то, что я должен сделать. Кроме того, некоторая базовая защита от синтаксического анализа очень больших файлов. –