问题标签 [brakeman]

我在 Rails 5.2 应用程序中使用以下 gem。

Brakeman 与 Guard 合作得很好，但最近发生了一些变化。

查看gem repo，在引发此错误的行附近有一条评论

还有其他人遇到这个问题吗？我是否错误地配置了我的应用程序，这会阻止 Brakeman 与 Guard 合作？还是宝石有问题？

我正在使用 ActiveRecord::Base.connection.execute 将数据插入数据库。运行刹车报告后，我收到此警告：“可能的 SQL 注入”

并尝试了其他一些不起作用的东西，甚至不值得一提。有人知道如何解决这个问题吗？

我在这样的 erb 文件中有一个代码

当我运行刹车时，我收到类似“未转义模型属性”的警告，类型为“跨站点脚本”。

我试图添加ERB::Util.html_escape(rem_cust.created_at)，但这并没有使警告消失。我相信这一定与前面的线路有关。

如何仅为修改后的文件运行安全分析工具Brakeman ？

我在 Ruby 2.6.3 中使用了制动器 4.6.1 版。

我目前正在研究在 RoR 中进行重定向的解决方案，因为我在刹车报告中收到一个错误，说我必须以正确的方式修复重定向。我了解消息的内容以及如何在一个控制器操作中解决它。但现在我得到了以下内容。在新方法的实例化过程中，我设置了可在创建操作中使用的 HTTP_REFERER 标头。

这给了我一个 Brakeman 警告，可以在以下链接中找到

假设我有以下具有多个端点的控制器：

我已经尝试通过使用redirect_back来自 RoR 的方法来解决这个问题，但这是使用我不想使用的 create 方法的引用链接。

考虑一个用户模型

在控制器中，我想接收params[:status]并返回具有该状态的所有用户

IE

这很好用，但Brakeman给了我一条dangerous send - User controlled method execution 警告

有没有办法做到这一点，不会招致来自Brakeman.

我打算在我的 ruby​​ 应用程序中使用刹车器，有没有办法在 ruby​​mine 中使用刹车器？（能够配置robocop）

我的user_ransaker.rb文件中有以下代码：

型号user.rb：

对于上述声明，我收到以下 Brakeman 警告：

这是一个有效的错误吗？?如果我使用 ActiveRecord 编写 SQL 语句，如果需要插入值，我可以使用占位符。我不确定如何解决此警告。如果这是一个有效的警告，我该如何补救？

我的 html.haml 视图中有以下代码：

当我运行刹车时，我收到以下警告：

即使使用sanitize如下所示，它仍然给我同样的警告：

我很困惑为什么我仍然得到它以及我将如何解决它。谢谢你。

我的代码中有以下部分_filters.html.haml已多次使用：

它有一个从 params[:controller] 构造的动态删除路径。Brakeman 为上述代码提供以下错误消息：

这是 Brakeman 显示的有效错误吗？我知道将参数列入白名单是避免危险发送的一种解决方案。有没有更好的方法来解决这个问题？