Mic*_*eal 8 ruby sql oracle prepared-statement ruby-on-rails-3
我有以下代码执行oracle视图,如下所示:
def run_query
connection.exec_query(
"SELECT * FROM TABLE(FN_REQRESP(#{type_param},
#{search_type_param},
#{tid_param},
#{last_param},
#{key_param},
#{tran_id_param},
#{num_param},
#{start_date_param},
#{end_date_param}))")
end
上述查询的输出如下:
SELECT * FROM TABLE(FN_REQRESP('ALL',
'ALL_TRAN',
'100007',
'',
'',
'',
'',
TO_DATE('27-January-2017','dd-MON-yy'),
TO_DATE('31-January-2017','dd-MON-yy')))
问题是上面的查询有一个SQL注入漏洞.
所以,我试着添加一个prepare语句如下:
connection.exec_query('SELECT * FROM TABLE(FN_REQRESP(?,?,?,?,?,?,?,?,?))','myquery',[type_param,search_type_param,tid_param,last_param,key_param,tran_id_param,num_param,start_date_param,end_date_param])
我现在收到以下错误:
NoMethodError:未定义的方法`type'表示"'ALL'":字符串:SELECT*FROM TABLE(FN_REQRESP(?,?,?,?,?,?,?,?,?))
这是单引号搞砸了我相信.有办法克服这个问题吗?
编辑:我尝试了NDN的答案和错误如下:
OCIError: ORA-00907: missing right parenthesis: SELECT * FROM TABLE(FN_REQRESP('\'ALL\'',
'\'ALL_TRAN\'',
'\'100007\'',
'\'\'',
'\'\'',
'\'\'',
'\'\'',
'TO_DATE(\'01-February-2017\',\'dd-MON-yy\')',
'TO_DATE(\'10-February-2017\',\'dd-MON-yy\')'))
查看源代码,binds以某种神奇的方式进行转换,并且您还必须传递命名prepare: true参数。
它在旧版本中的工作方式也有所不同。
为了省去麻烦,您可以简单地使用#sanitize:
params = {
type: type_param,
search_type: search_type_param,
tid: tid_param,
last: last_param,
key: key_param,
tran_id: tran_id_param,
num: num_param,
start_date: start_date_param,
end_date: end_date_param,
}
params.each do |key, param|
params[key] = ActiveRecord::Base.sanitize(param)
end
connection.exec_query(
"SELECT * FROM TABLE(FN_REQRESP(#{params[:type]},
#{params[:search_type]},
#{params[:tid]},
#{params[:last]},
#{params[:key]},
#{params[:tran_id]},
#{params[:num]},
#{params[:start_date]},
#{params[:end_date]}))"
)
| 归档时间: |
|
| 查看次数: |
454 次 |
| 最近记录: |