我有一个表单输入,可以收集任意字符串。我想将该输入直接传递给strftime,以便用户可以指定自己的格式。例如:"mytext%Y"可能从用户输入,然后我将其传递给strftime。
# userinput = "mytext%Y"
mydate = DateTime.now.strftime(userinput)
# outputs "mytext2000"
这样安全吗?如果没有,那么开发人员将需要考虑或采取哪些措施?
很安全
可能发生的最坏情况是,当用户输入无效格式时,它只会将字符串打印出来。
Date.today.strftime('%A')
# => "Tuesday"
Date.today.strftime('#{1 + 1}')
# => "\#{1 + 1}"
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句