代码之家  ›  专栏  ›  技术社区  ›  Pablo Fernandez

在Rails上安全地转义用于连接、限制、选择等(非条件)的SQL片段的字符串

escaping sql-injection ruby ruby-on-rails
  •  12
  • Pablo Fernandez  · 技术社区  · 15 年前

    在RubyonRails中,对于条件,很容易进行SQL注入证明查询: 

    :conditions => ["title = ?", title]

    标题来自外部,来自Web表单或类似的东西。

    但是如果在查询的其他部分使用SQL片段,比如: 

    :select => "\"#{title}\" AS title"   # I do have something like this in one instance
:joins => ["LEFT JOIN blah AS blah2 ON blah2.title = \"#{title}\""]

    有没有一种方法可以正确地转义这些字符串?

    1 回复  |  直到 15 年前
        1
  •  23
  •   Pablo Fernandez    15 年前

    通常在Rails中,连接是作为表示ID连接的符号(或作为二阶连接的哈希)完成的,您可以使用条件将其过滤掉。如果需要如图所示进行操作,则可以使用ActiveRecord sanitize_sql_array 要清除SQL字符串,请执行以下操作: 

    sanitize_sql_array(["LEFT JOIN blah AS blah2 ON blah2.title = ?", @blah.title])
    推荐文章
    cagta  ·  如何使用此python脚本避免硬编码sql表达式?
    6 年前
    John  ·  MySQL php查询缺陷
    6 年前
    DavidC  ·  Rails ActiveRecord:如何在jsonb上使用带双引号的绑定变量
    6 年前
    Mori  ·  Azure函数中针对CosmosDB的SQLInjection
    6 年前
    Константин Ковалев  ·  Laravel eloquent selectRaw for SQL注入
    7 年前
    zerocool  ·  数据库中的查询级别
    7 年前
    Arunabh  ·  在不使用预处理语句的情况下摆脱SQL注入
    7 年前
    Michael Pomogajko  ·  为基于时间的盲sqlinjection查找sql查询
    7 年前
    Paul  ·  是节点中的转义函数。js mysql包是否足以安全地查询mysql数据库(无需使用准备好的语句)?
    7 年前
    Web Dev Guy  ·  使用WordPress get\u results()数据库函数是否会阻止sql注入
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号