那些遇到过的问题

如何在Ruby中转义字符串以防止SQL注入?(没有Rails)

14 ruby sql-injection

我只是想知道如何在Ruby中转义SQL查询(字符串)以防止SQL注入.请注意我没有使用Rails框架.

谢谢.

gre*_*ade 17

如果可能,使用Ruby DBI模块,而不是尝试引用字符串,使用参数化准备的查询,如下所示:

dbh = DBI.connect("DBI:Mysql:test:localhost", "testuser", "testpass")
sth = dbh.prepare("INSERT INTO people (id, name, height) VALUES(?, ?, ?)")
File.open("people.txt", "r") do |f|
  f.each_line do |line|
    name, height = line.chomp.split("\t")
    sth.execute(nil, name, height)
  end
end
Run Code Online (Sandbox Code Playgroud)

报价将为您妥善处理,注射将成为过去.

编辑:请注意,此示例显示nil作为execute()的第一个参数传递.它对应第一个?在查询中,DBI模块将其转换为"NULL".其他参数同样适当地引用并插入到查询中.

归档时间:

查看次数:

15477 次

最近记录:

15 年,6 月 前
相关归档
在Ruby中迭代数组的"正确"方法是什么? 327
在rails中阻止html.erb模板中的注释 113
Ruby:更新Hash值的最简单方法是什么? 44
为什么"case> 2"的"case"不起作用? 28
Ruby如果.. elsIf .. else在一行? 22
RubyMine:在项目中找不到Rails服务器启动器 20
如何在rubys net/http中设置代理? 16
访问Ruby哈希变量 13
如何使用参数化查询按名称搜索列? 6
防止SQL注入 -1
难疑归档
在JavaScript中创建GUID/UUID? 3915
如何在PHP中阻止SQL注入? 2776
如何将元素移动到另一个元素? 1611
正确使用IDisposable接口 1586
JavaScript发布请求,如表单提交 1465
你怎么能加速Eclipse? 1258
在现代Python中声明自定义异常的正确方法? 1176
如何撤消'git reset'? 1172
有条件地申请课程的最佳方式是什么? 1172
Ukkonen的简明英语后缀树算法 1065