open-uri 支持的范围比较大，容易被注入：

> URI.open '/tmp/test.txt'
=> #<File:/tmp/test.txt>
> URI.open('| ls')
=> #<IO:fd 7>

抓用户输入的时候建议校验 uri 的 schema，并且用别的 http 库（只支持 http）。