那些遇到过的问题

rails find_by sql注入

src*_*ulo 4 ruby sql sql-injection ruby-on-rails

所以我知道Rails在使用时有助于防止sql注入:

Object.find(:first, :conditions=>["name=?",name])
Run Code Online (Sandbox Code Playgroud)

但是,我似乎无法找到自动生成的find_by和find_all_by方法是否保护了再次sql注入.

即:

Object.find_by_name(name)
Run Code Online (Sandbox Code Playgroud)

所以这两个调用具有完全相同的结果.我的问题是,即使第二个更方便,我应该继续使用第一个,因为它提供防止SQL注入,或第二个也这样做吗?

Ser*_*sev 8

是的,基于动态属性的查找程序(find_by_*系列)可以保护您的应用程序免受sql注入.

归档时间:

查看次数:

1272 次

最近记录:

14 年,2 月 前
相关归档
如何在rails中定义自定义配置变量 332
PG ::错误:SELECT DISTINCT,ORDER BY表达式必须出现在选择列表中 45
如何获取存储过程参数的详细信息? 30
Devise中sign_in页面的路径助手的名称是什么? 29
'MOD'不是公认的内置函数名称 29
具有多列的SELECT动态排序 23
包的现有状态已被丢弃 15
SSIS时间戳 11
Ruby的vcr的Java替代品? 11
为什么我们需要在bindParam()中指定参数类型? 6
难疑归档
"git add -A"和"git add"之间的区别. 2788
我应该在MySQL中使用日期时间或时间戳数据类型吗? 2598
NPM vs. Bower vs. Browserify vs. Gulp vs. Grunt vs. Webpack 1811
如何基于通配符匹配以递归方式查找当前和子文件夹中的所有文件? 1695
在Git中撤消一个文件的工作副本修改? 1550
无法打开与身份验证代理的连接 1473
有没有办法从APK文件中获取源代码? 1218
我可以将多个MySQL行连接到一个字段中吗? 1143
如何从git存储库中删除目录? 1138
Ukkonen的简明英语后缀树算法 1065