Object#send 有害論 - Qiita

ご存知の方には何を今更感があるかとは思いますが、パッとググった限り誰も書かれていなかったので、 Object#sendやそれとよく似たObject#public_sendの使い方は注意して使わなければ結構危ないセキュリティホールを作ってしまうよ、 というお話をしたいと思います。 TL;DR Object#sendはevalやsystemの次ぐらいに危険です。ユーザーの入力など、外部から入力された値をObject#sendやpublic_sendメソッドにそのまま渡すのはやめましょう。 これらのメソッドに渡す文字列は、（特殊なメタプログラミング用のライブラリを作る場合などを除いて）必ずどこかにハードコードした、信頼できるメソッドの名前のみにしてください。 危険なケース 例えばあからさまな例ですが、次のようなRailsのコントローラーのアクションがあったとしましょう。 みなさんはこれに近いよう

[toshiwo]

これホントそう。あと無駄に動的に作られたり処理されてるとそれだけで読む手間ふえたりするし

[bouzuya]

send にユーザー入力を渡すのはまあないとしても、ぼくの知る限り Ruby は思想として「プログラマを信頼し責任と権限を委ねる」ように思うので、危険だけど便利なものは許容されていそう。

[niwatako]

“例えばexitという文字列を送った場合、なんとRailsアプリを終了させることができてしまいます”

[bowbow99]

よく見たら Ruby タグが付いてた。

[mfks17]

後で読む

[Watson]

確かに Object#send の使いどころを間違えると危険だな

[pistachio0416]

sendにユーザー入力値を渡そうとする想像力すごい

[igrep]

書きました！