如何根据名称动态调用方法?当名称包含在字符串变量中时,如何动态调用方法?例如:class MyClass
def foo; end
def bar; endendobj = MyClass.new
str = get_data_from_user # e.g. `gets`, `params`, DB access, etc.str #=> "foo"# somehow call `foo` on `obj` using the value in `str`.我怎样才能做到这一点?这样做是否存在安全风险?
3 回答
梦里花落0921
TA贡献1772条经验 获得超6个赞
您想要做的是称为动态调度。在Ruby中它很容易,只需使用public_send:
method_name = 'foobar'obj.public_send(method_name) if obj.respond_to? method_name
如果该方法是私有/受保护的,请send改用,但更喜欢public_send。
如果价值method_name来自用户,则存在潜在的安全风险。要防止漏洞,您应该验证哪些方法可以实际调用。例如:
if obj.respond_to?(method_name) && %w[foo bar].include?(method_name) obj.send(method_name)end
忽然笑
TA贡献1806条经验 获得超5个赞
你真的要小心这个。使用用户数据来调用任何方法send可以为用户打开空间以执行他们想要的任何方法。 send通常用于动态调用方法名称 - 但要确保输入值是可信的并且不能由用户操纵。
黄金法则永远不会信任来自用户的任何输入
- 3 回答
- 0 关注
- 622 浏览
添加回答
举报
0/150
提交
取消