代码之家  ›  专栏  ›  技术社区  ›  Pablo Fernandez

在Rails上安全地转义用于连接、限制、选择等(非条件)的SQL片段的字符串

escaping sql-injection ruby ruby-on-rails
  •  12
  • Pablo Fernandez  · 技术社区  · 15 年前

    在RubyonRails中,对于条件,很容易进行SQL注入证明查询: 

    :conditions => ["title = ?", title]

    标题来自外部,来自Web表单或类似的东西。

    但是如果在查询的其他部分使用SQL片段,比如: 

    :select => "\"#{title}\" AS title"   # I do have something like this in one instance
:joins => ["LEFT JOIN blah AS blah2 ON blah2.title = \"#{title}\""]

    有没有一种方法可以正确地转义这些字符串?

    1 回复  |  直到 15 年前
        1
  •  23
  •   Pablo Fernandez    15 年前

    通常在Rails中,连接是作为表示ID连接的符号(或作为二阶连接的哈希)完成的,您可以使用条件将其过滤掉。如果需要如图所示进行操作,则可以使用ActiveRecord sanitize_sql_array 要清除SQL字符串,请执行以下操作: 

    sanitize_sql_array(["LEFT JOIN blah AS blah2 ON blah2.title = ?", @blah.title])
    推荐文章
    Adam Noack  ·  如何将转义字符串转换为相应单个字符的列表?
    7 年前
    vishnumanohar  ·  如何转义curl命令头中的特殊字符
    7 年前
    Johnny  ·  如何使用PHP通过JSON发送HTML元素?
    7 年前
    sapbucket  ·  如何处理具有大量转义的字符串?
    7 年前
    e___e  ·  python字符串。格式和无效转义
    7 年前
    Patric  ·  计算传递给PowerShell中函数的字符串内的变量
    7 年前
    Darrel Holt  ·  创建JavaScript字典,同时保留引号和转义符
    7 年前
    Amaroks  ·  C#错误路径@
    7 年前
    Jack  ·  如何通过C将字符@“\”转换为转义字符串#
    7 年前
    user1032531  ·  如何使grep不解释搜索字符串中的特殊字符?
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号