د ګریل ویب چوکاټ کې یو زیان منونکی پیژندل شوی، چې د JVM لپاره په جاوا، گرووي او نورو ژبو کې د MVC پاراډیم سره سم د ویب غوښتنلیکونو پراختیا لپاره ډیزاین شوی، چې تاسو ته اجازه درکوي په لیرې توګه خپل کوډ په چاپیریال کې اجرا کړئ چیرې چې ویب غوښتنلیک روان دی. زیانمنتیا د ځانګړي جوړ شوي غوښتنې په لیږلو سره کارول کیږي چې برید کونکي ته کلاس لوډر ته لاسرسی چمتو کوي. ستونزه د ډیټا پابند کولو منطق (ډیټا پابند) کې د نیمګړتیا له امله رامینځته کیږي ، کوم چې دواړه د شیانو رامینځته کولو پرمهال کارول کیږي او کله چې په لاسي ډول د bindData په کارولو سره پابند وي. مسله په 3.3.15، 4.1.1، 5.1.9 او 5.2.1 ریلیزونو کې حل شوې ده.
برسېره پردې، موږ کولی شو په tzinfo روبي ماډل کې یو زیان یاد کړو، کوم چې د هر فایل مینځپانګې بارولو ته اجازه ورکوي، تر هغه چې د برید شوي غوښتنلیک د لاسرسي حق اجازه ورکوي. زیانمنتیا د TZInfo::Timezone.get میتود کې مشخص شوي د وخت زون نوم کې د ځانګړي حروفونو کارولو لپاره د مناسب چک نشتوالي پورې اړه لري. مسله په هغه غوښتنلیکونو اغیزه کوي چې TZInfo::Timezone.get ته نا تایید شوي بهرني معلومات لیږدوي. د مثال په توګه، د فایل لوستلو لپاره /tmp/payload، تاسو کولی شئ یو ارزښت مشخص کړئ لکه "foo\n/../../../tmp/payload".
سرچینه: opennet.ru