我认为这是clojure/tools.logging中的错误。我有以下db.clj文件。它的作用并不重要。重要的是,为了安全起见,我禁用了*read-eval*。我没有问题地调用db/start。但是,如果我取消注释#_(log/info "Failed to bootstrap")表单,则会引发EvalReader not allowed错误。我为log/info电话尝试了各种组合。如果它在try块之外,那很好。在任何地方的try区域内,无论是在正文中,catch还是finally,它都会引发此异常。但是,当我将try包裹在log/info的其他地方时,它没问题。
是什么给出了?
(ns extenium.db
(:require [clojure.tools.logging :as log]
[clojure.java.io :as io])
(:import com.thinkaurelius.titan.core.TitanGraph
com.thinkaurelius.titan.core.TitanFactory))
(def ^:private
sentinel- (Object.))
(def ^:private
db- (atom nil))
...
(defn start [^String path]
(locking sentinel-
(log/info "Starting database at path" path)
(let [exists (.exists (io/file path))
^TitanGraph db_ (TitanFactory/open path)]
(if exists
(log/info "Path" path "exists")
(log/info "Path" path "does not exist"))
(log/info "Starting database engine")
(swap! db- (constantly db_))
(log/info "Started database engine")
(if (not exists)
(try
(bootstrap-)
(catch Throwable t
#_(log/info "Failed to bootstrap")
(stop)
(.delete (io/file path))
(throw t)))))
(log/info "Started database")
true))
编辑:修剪@ alex-taggart的代码。 bootstrap-实现未显示。我最初包含了所有内容,因为这看起来像是特定于上下文的错误,我觉得提供尽可能多的上下文更安全。
编辑:每个@chouser,添加了我如何禁用*read-eval*。这是由lein new app生成的模板。
(defn -main
"The main entry point into Extenium."
[& args]
;; Prevent arbitrary eval injection
(alter-var-root #'*read-eval* (constantly false))
;; Initialize system settings from the command line and configuration file
(init!- args)
;; Start the service
(start!-))
答案 0 :(得分:0)
这确实不是错误。 clojure.tools.logging库只是对其他Java日志记录工具的抽象。要发现哪一个可用,它使用eval表达式。欢迎您自己检查:这是一个快速search result和一个certain file的使用位置。
对于您而言,我认为没有必要关心全局read-eval。这是一项内部功能,谁知道其他库依赖于此功能。如果您验证用户输入并阻止对其进行评估,则可以保留该标记不变。我会说,SQL注入和XSS是您首先要担心的事情。