dongzice4895 2018-09-13 19:41
浏览 639
已采纳

如何处理gosec linter警告:可能通过变量包含文件

How do I solve the following warning from gosec linter:

::warning: Potential file inclusion via variable,MEDIUM,HIGH (gosec)

The linter is warning me on the first line of this function:

func File2lines(filePath string) ([]string, error) {
    f, err := os.Open(filePath) //Warning here
    if err != nil {
        return nil, err
    }
    defer f.Close()
    return linesFromReader(f)
}

I have tried reading up on local file inclusion, but cannot see how that would be applicable here.

  • 写回答

2条回答 默认 最新

  • duanhangjian8149 2018-09-13 21:19
    关注

    Where does the path come from? If you’re not absolutely sure it can never have user input, best to clean it before use and use a known prefix, e.g.:

    filePath = filepath.Join(basePath,filepath.Clean(filePath))
f, err := os.Open(filePath)

    That should fix the complaint. This is a reasonable precaution anyway even if you think it is safe now, in case later someone uses your function with user data.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(1条)

报告相同问题?

  • linter发出的goconst警告
    2017-09-24 11:34
    回答 1 已采纳 It's just a warning that you're re-using the same string literal in multiple places. This can be
  • SublimeLinter的GoType问题
    2016-03-24 02:25
    回答 1 已采纳 I'd faced the same problem. Try running launchctl setenv GOPATH $GOPATH and restarting ST, this
  • nfs挂载最小根文件系统,无法找到rcS文件 linux
    2021-08-11 08:42
    回答 10 已采纳 最终解决办法:确认该路径下存在rcS文件,使用VIM工具打开该文件发现显示的是dos格式,应该是unix格式。后续,在挂载的机器上使用vi打开该文件,发现行末都多了个"^M",删除掉该字符后,重新挂载
  • linter-jenkins:通过声明式Linter的Jenkinsfile皮棉
    2021-05-12 04:30
    林特·詹金斯 Linter-Jenkins的目标是在Atom中提供功能强大的declarative-linter填充毛刺功能。 这将使用声明性语法来整理您的Jenkinsfiles。安装必须具有安装了jenkins-pipeline插件的Jenkins服务器,才能对其进行...
  • linux内核nfs挂载文件系统崩溃-20220112 linux
    2022-01-12 22:41
    回答 2 已采纳 异常LOG [ 7.127202] IP-Config: Gateway not on directly connected network. [ 7.131946] DBUG_PORT
  • 变量声明和“变量已声明且未使用”错误
    2018-09-11 18:04
    回答 2 已采纳 This part: if tm, err := time.Parse(...) creates a new variable tm that has scope only within t
  • 延迟处理错误
    2019-08-31 17:56
    回答 1 已采纳 You can name your returning error variable and initialize anywhere inside the function. check thi
  • addons-linter::magnifying_glass_tilted_left:使用JavaScript编写的Firefox附加组件linter。 :eye:
    2021-01-30 01:18
    addon.zip 或者,您可以将其指向目录: addons-linter my-addon/src/ addons-linter将检查您的加载项并为您显示错误,警告和友好消息。 如果您想了解有关可以为命令行应用启用/禁用的选项的更多信息,请使用--help...
  • GoSublime的GoLint / GoType不起作用(无重复)
    2014-09-18 13:12
    回答 1 已采纳 I fixed it. The issue was a lack of knowledge of bash config files. I found the details on the S
  • 使用Homestead和php-debug的Atom IDE和Xdebug Vagrant:无法使其暂停执行到断点并进行调试 php vagrant
    2018-07-25 17:35
    回答 1 已采纳 In order for the atom to work with vagrant you should use the following xdebug settings: zend_ext
  • 在linux中使用vscode问题 linux
    2022-09-07 22:39
    回答 2 已采纳 由于linux系统自带python2.7,所以需要手动安装python3。安装完成后还需要安装python3的pip包,命令如下: sudo apt install python3-pip
  • dotenv-linter:像对待吊饰一样整理dotenv文件
    2021-01-29 20:12
    .env文件中有很多地方可能出错: # Next line has leading space which will be removed: SPACED = # Equal signs should not be spaced: KEY = VALUE # Quotes won't be preserved after parsing, do not use ...
  • file-content-linter:持续集成的文件内容验证
    2021-01-30 09:16
    `file-content-linter`是一个用于持续集成(CI)流程的工具,它专注于检查项目中文件的内容,以确保它们符合特定的编码规范、格式标准或者包含必要的信息。这个工具通常与Perl编程语言相关,并且可以集成到如TeamCity...
  • linter:具有母牛能力的基础Linter http://steelbrain.melinter
    2021-02-28 14:12
    如何/安装您可以通过以下方式通过CLI安装: $ apm install linter或者,您可以通过搜索Base Linter在“设置”视图中进行安装(搜索Linter可能不会显示此软件包)。API文档请导航至以获取Linter v2文档。贡献坚持...
  • linter::hatching_chick: REDAXO 的 Linter 命令行 - 已弃用,使用 https
    2021-05-29 06:07
    REDAXO 的 Linter 命令行。 使用此工具可以检查任何文件的常见错误。 目前正在检查以下文件: PHP文件 YAML 文件 JSON文件 SQL文件 CSS文件 在 Travis CI 中设置 在所需的 github 存储库中.travis.yml .travis.yml...
  • linter-cobc:使用 GNU COBOL 整理 COBOL 文件
    2021-06-05 02:02
    使用`linter-cobc`的一般步骤包括: 1. **安装**:首先,你需要在你的开发环境中安装GnuCOBOL,然后根据项目提供的指南安装linter-cobc,这通常通过包管理器(如npm对于Node.js环境)完成。 2. **配置**:配置你的...
  • linter-clang:使用Clang整理基于C的文件
    2021-05-13 14:17
    通过搜索并安装linter-clang软件包,从Atom的“设置”窗格中进行安装。 或通过运行以下命令从命令提示符安装: $ apm install linter-clang 该软件包将确保在激活时安装所有依赖项。 项目特定的设置 .clang_...
  • linter-markdown:原子内的Lint Markdown文件
    2021-05-13 14:21
    如果配置的话,皮棉,通过.remarkrc文件或remarkConfig中package.json S,这棉短绒作品就像 。 您可能应该在本地npm install .remarkrc文件中引用的模块( npm install不带-g或--global标志)。 如果全球安装的模块...
  • svglint:SVG文件Linter
    2021-05-16 23:59
    SVGLint 减少SVG文件。 可以作为命令行实用程序或NodeJS库运行。用法通过执行CLI,可以将该工具用作命令行工具。 如果由NPM作为依赖项安装,则可以在./node_modules/.bin/svglint找到。 如果由NPM全局安装,则可以...
  • ncss-linter:NCSS的Linter
    2021-05-25 21:02
    NCSS林特Linter。预习安装在您的系统上安装: npm install ncss-linter --global --unsafe-perm=true设置创建一个.ncsslintrc文件以覆盖配置: {" html " : null ," path " : null ," url " : null ," namespace " :...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 ansys fluent计算闪退
  • ¥15 有关wireshark抓包的问题
  • ¥15 需要写计算过程,不要写代码,求解答,数据都在图上
  • ¥15 向数据表用newid方式插入GUID问题
  • ¥15 multisim电路设计
  • ¥20 用keil,写代码解决两个问题,用库函数
  • ¥50 ID中开关量采样信号通道、以及程序流程的设计
  • ¥15 U-Mamba/nnunetv2固定随机数种子
  • ¥15 vba使用jmail发送邮件正文里面怎么加图片
  • ¥15 vb6.0如何向数据库中添加自动生成的字段数据。