ruby-on-rails – 用于rails控制器中create方法的sql注入预防

前端之家收集整理的这篇文章主要介绍了ruby-on-rails – 用于rails控制器中create方法的sql注入预防前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
如comment_controller.rb中所示:
def create
    @comment = Comment.new(params[:comment])
    @comment.save
end

我假设这是sql注入 – 不安全.但这样做的正确方法是什么?..网上的所有例子都涉及到发现.

解决方法

代码不受sql注入攻击.转义是由ActiveRecord完成的,所以每当你调用模型的查找,创建,新建/保存或任何其他进行数据库交互的方法时,你都可以.唯一的例外是如果您使用原始sql作为其中一个选项,例如:
Comment.find(:all,:conditions => "user_id = #{params[:user_id]}")

首选形式是:

Comment.find(:all,:conditions => {:user_id => params[:user_id]})

这将自动防止sql注入.

猜你在找的Ruby相关文章