6.17. 使用变量避免模块加载

来源:goldbergyoni 浏览 283 扫码分享 2021-01-03 13:38:07

避免使用变量加载模块

避免使用被指定为参数的路径变量导入(requiring/importing)另一个文件, 因为该变量可能源自用户输入。此规则可以扩展到一般情况下的访问文件(例如，fs.readFile())，或者包含源自用户输入的动态变量的其他敏感资源。

// 不安全, 因为helperPath变量可能通过用户输入而改变
const uploadHelpers = require(helperPath);
// 安全
const uploadHelpers = require('./helpers/upload');

当前内容版权归 goldbergyoni 或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问 goldbergyoni .

本文档使用 BookStack 构建