On Saturday 20 December 2008, Daniel Weinand wrote: > Wie wärs hiermit? > > userModel = Kernel.const_get(params[:welches_modell_auch_immer]) > userModel.find_by_plz(params[:plzcheck][:plz])
Als Einladung an Cracker, meinst du? const_get mit einem String, der vom Benutzer beliebig gesetzt werden kann, ist extrem gefährlich. Sicherheitshalber nur mit einer Liste erlaubter Strings verwenden. Michael -- Michael Schuerig mailto:[email protected] http://www.schuerig.de/michael/ _______________________________________________ rubyonrails-ug mailing list [email protected] http://mailman.headflash.com/mailman/listinfo/rubyonrails-ug
