Brakeman unsichere Reflexionsmethode constalize genannt mit Modellattribut

Question

In meiner Rails-Anwendung bekomme ich die folgende Sicherheitswarnung von Bremser. Unsafe-Reflektionsmethode constantize wird mit dem Model-Attribut aufgerufen. Hier ist, was mein Code tut.

 

chart_type = Chart.where(
    id: chart_id, 
).pluck(:type).first 

begin 
    ChartPresenter.new(chart_type.camelize.constantize.find(chart_id)) 
rescue 
    raise "Unable to find the chart presenter" 
end 
 

Aus meiner Forschung habe ich keine konkrete Lösung gefunden. Ich habe gehört, dass Sie eine Whitelist erstellen können, aber ich bin mir nicht sicher, was der Bremser sucht. Ich habe versucht, ein Array zu erstellen und vor dem Aufruf von constantize dagegen zu prüfen, und breakman beschwert sich immer noch. Jede Hilfe dabei wäre großartig. Wenn Sie der Meinung sind, dass es sich nicht um eine notwendige Korrektur handelt, können Sie Einzelheiten darüber angeben, warum dies kein Problem darstellen sollte?

Answer 1

können Sie den anderen Weg gehen um, die Klasse zu finden, dessen Name von chart_type:

chart_class = [User, Category, Note, Post].find { |x| x.name == chart_type.classify } 
if chart_class.nil? 
    raise "Unable to find the chart presenter" 
end 
ChartPresenter.new(chart_class.find(chart_id)) 

Auf diese Weise Brakeman glücklich sein sollte, und Sie sind sicherer ...