dsi*_*829 5 ruby-on-rails ruby-on-rails-3 brakeman
在从参数构造订单方法时,如何避免Rails中的制动器警告?
def index
@methods = [:name, :manager, :deadline]
assignments = Assignment.order(sort_column(@methods) + " " + sort_direction).received(current_user).root
end
def sort_column(column_names)
column_names.each do |column|
return column if column == params[:sort]
end
return 'updated_at'
end
def sort_direction
params[:direction] == 'asc' ? 'asc' : 'desc'
end
我正在努力避免将用户生成的代码直接放入查询中,但是制动器仍会警告(中等信度)这是一个SQL注入漏洞.
这是误报吗?如果没有,我该如何纠正漏洞?
如果是这样,有没有一种简单的方法可以避免误报?
好的,这个评论太长了.
从我的测试中,将字符串构建移动到这样的方法确实会使警告消失:
def index
@methods = [:name, :manager, :deadline]
assignments = Assignment.order(sort_order).received(current_user).root
end
def sort_order
sort_column(@methods) + " " + sort_direction
end
但是,这只是隐藏问题.我建议在Assignment模型中添加这样的东西:
class Assignment < ActiveRecord::Base
def self.sorted_by(column, direction)
direction = direction.downcase == 'asc' ? 'asc' : 'desc'
column = sanitize_sql(column)
order("#{column} #{direction}")
end
end
请记住,有时您必须在保持工具开心和保持代码合理性之间做出选择.至于误报,我不认为这个问题正在解决,因为检查sort_column并确定它是安全的并不简单.
| 归档时间: |
|
| 查看次数: |
2089 次 |
| 最近记录: |