问题标签 [brakeman]

我正在尝试在这样的模型中实现验证。

Brakeman 检测到这是一个Format Validation安全问题，并建议在正则表达式之间添加锚点。

使用 /[0-9]/ 对“字段”的验证不足。使用 \A 和 \z 作为第 54 行附近的锚点

如果我添加这些锚，正则表达式将停止工作，所以我不知道在这种情况下该怎么做。这是我使用rails c.

我需要#<MatchData "1">在这两种情况下都返回该方法。

有任何想法吗？谢谢。

我已经安装了刹车手并获得了安全漏洞。

这是我的警告

未转义的模型属性在第 24 行附近内联渲染：render(inline => SendGridMailer.weekly_email([current_user], WeeklyNewsletterFactory.new.email(:preview => true)).html_part.body.raw_source, {})

线路：24

我已经按照刹车员的建议尝试了这个解决方案，但是在这样做之后我开始收到错误无法解析

Rails - 4.2.4
Brakeman - 3.1.2
Ruby - 2.3.1

我有代码。 users_controller.rb

并查看/user/show.html.erb

在 micropost/_micropost.html.erb

而且我会警告动态渲染路径和高亮<%= render @microposts %>。我怎样才能修复它以通过brakenman ？

这是确切的错误：

我的rails项目遇到了问题。使用 Nokogiri 打开用户输入的 url 时，Brakeman gem 会生成命令注入警告。这是我的代码

这是刹车员的警告信息

在第 101 行附近的 open() 中可能的命令注入： open("#{params[:url]}", "User-Agent" => ("Ruby/#{request.user_agent}"))

有谁知道可以解决刹车警告的解决方案？谢谢！

我正在使用带有 Rails 5 的 MiniTest。当我运行以下命令时，我希望Brakeman在测试运行之前扫描我的应用程序：

我正在将 Brakeman 添加到 Rails 产品中，但遇到了问题。我希望它忽略我的 Gemfile 和 Gemfile.lock 但是当我使用类似的命令运行它时

它仍在接触文件。我们使用其他系统来监控我们的gem，但是不可能完全忽略gem文件吗？我当然可以使用一个brakeman.ignore 文件，但我不想这样做。感谢您的任何帮助。

我正在开发一个遗留的 Rails 应用程序，控制器有很多params.permit!. 在其上运行 Brakeman 扫描时，会params.permit!打开应用程序的大量分配漏洞。

我的问题是 - 绕过这个 params.permit 的最有效方法是什么！漏洞并替换它？

我在一个模型中有这个方法，里面有这个代码。它调用 gem 并返回我想要的对象或找不到 404 资源。如果我在 404 上执行一个方法，那么我需要如下所示拯救它。如果我只使用救援，则 linter 会失败。如果我这样做，这个刹车手就会失败。

我怎样才能在不使 linter 和brakeman 失败的情况下挽救这个错误。

我正在 Post 模型中编写 SQL 查询来搜索数据库以将查询与帖子的正文相匹配。我正在使用Brakemangem 来帮助审核应用程序的安全性，它返回的 SQL 查询易受注入攻击。

查询，

Post控制器，

我正在使用给定的正则表达式来验证用户名：

通过运行brakemangem，我收到以下警告。

正确分配这些锚点并保持相同字符权限的最佳正则表达式是什么？

正则表达式对我来说仍然是一个神话！此致。