那些遇到过的问题

Rails SQL注入?

Yuv*_*rmi 31 security sql-injection ruby-on-rails

在Rails中,当我想通过用户找到给定的值并避免SQL注入(转义撇号等)时,我可以这样做:

Post.all(:conditions => ['title = ?', params[:title]])
Run Code Online (Sandbox Code Playgroud)

我知道这样做的一种不安全的方式(可能的SQL注入)是这样的:

Post.all(:conditions => "title = #{params[:title]}")
Run Code Online (Sandbox Code Playgroud)

我的问题是,以下方法是否会阻止SQL注入?

Post.all(:conditions => {:title => params[:title]})
Run Code Online (Sandbox Code Playgroud)

fph*_*ipe 39

是的,它确实.只有第二个是危险的.

edt*_*hix 8

RoR指南的一个很好的参考.

Moh*_*ain 5

1 @fphilipe和@yuval检查从该5分钟的视频railscast和这一个从导轨引导

归档时间:

查看次数:

13141 次

最近记录:

12 年,10 月 前
相关归档
哈希删除除特定键以外的所有键 71
如何使用Windows集成安全性在ASP.Net MVC 4上保护Elmah:Elmah忽略了我的设置 16
可以Rails app和rake db:migrate使用不同的数据库凭据吗? 13
Rails erb中<%code%>和<%= code%>之间的区别是什么? 13
如何在使用activerecords和多个线程时管理打开和关闭数据库连接 10
默认情况下,XML炸弹(实体注入)在.Net 4.0中处理,但不在.Net 3.5中.怎么样?改变了什么? 6
Hibernate命名查询是否会阻止SQL注入攻击? 5
通过AJAX注入受控HTML是一个安全问题? 4
完成后,不关闭与数据库的连接有什么安全隐患? 2
找不到类 org.bouncycastle.cms.CMSSignedData 2
难疑归档
如何在PHP中阻止SQL注入? 2776
在Git存储库中查找并恢复已删除的文件 2716
我遇到了合并冲突.我怎样才能中止合并? 2391
如何将列表拆分为大小均匀的块? 2068
轻松获取最新的git子模块 1748
如何在macOS或OS X上安装pip? 1676
C#中两个问号共同意味着什么? 1540
什么是C++ 11中的lambda表达式? 1408
为什么使用'=='或'is'比较字符串有时会产生不同的结果? 1076
如何查找Python中是否存在目录 1048