Implementar segurança em GStringTemplateEngine
05/07/2012 07:16
0
Bom dia pessoal.
Temos uma aplicação aqui que recebe uma string como um template que contém variáveis (como por exemplo ${a}) e um arquivo CSV contendo os valores a serem usados no template.
A applicação é bem simples mesmo. Nos usamos GStringTemplateEngine.
Minha pergunta é: como evitar que um engraçadinho derrube a aplicação com códigos como ${System.exit(0)} dentro to template ? Ou evitar que outros códigos maliciosos sejam executados ?
Alguém já passou por isso ?
Muito obrigado
Temos uma aplicação aqui que recebe uma string como um template que contém variáveis (como por exemplo ${a}) e um arquivo CSV contendo os valores a serem usados no template.
A applicação é bem simples mesmo. Nos usamos GStringTemplateEngine.
Minha pergunta é: como evitar que um engraçadinho derrube a aplicação com códigos como ${System.exit(0)} dentro to template ? Ou evitar que outros códigos maliciosos sejam executados ?
Alguém já passou por isso ?
Muito obrigado
1
Olá, Enio.
Amigo, até onde sei, em Groovy se fizer "$valor" não é o mesmo que fazer "${valor}".
A diferenã é que o primeiro força só um ".toString()" do que está após o $. Assim, se nessa sua solão você estiver preenchendo o template só com Strings e números, sugiro usar essa primeira forma.
Agora, não sei se essa maneira funciona em GStringTemplateEngine, pois nunca testei nela.
Abraços.
Amigo, até onde sei, em Groovy se fizer "$valor" não é o mesmo que fazer "${valor}".
A diferenã é que o primeiro força só um ".toString()" do que está após o $. Assim, se nessa sua solão você estiver preenchendo o template só com Strings e números, sugiro usar essa primeira forma.
Agora, não sei se essa maneira funciona em GStringTemplateEngine, pois nunca testei nela.
Abraços.
05/07/2012 11:37
Ainda não faz parte da comunidade???
Para se registrar, clique aqui.
Aprenda Groovy e Grails com a Formação itexto!
Newsletter Semana Groovy
Os melhores blogs de TI (e em português) em um único lugar!
