ruby-on-rails-3 – rails 3 activerecord命令 – 什么是正确的sql注入工作?

前端之家收集整理的这篇文章主要介绍了ruby-on-rails-3 – rails 3 activerecord命令 – 什么是正确的sql注入工作?前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
让我们说我有一个用户列表页面,你可以按不同的列进行排序,当点击“电子邮件”时,它将通过sort_by = email sort_direction = asc或desc
sort_by = "email" # really params[:sort_by]
sort_direction = "asc" # really params[:sort_direction]
User.order("#{sort_by} #{sort_direction}")
# SELECT "users".* FROM "users" ORDER BY email asc

所以如预期的那样工作,但是如果我们改变sort_by

sort_by = "email; DELETE from users; --"
User.order("#{sort_by} #{sort_direction}")
# SELECT "users".* FROM "users" ORDER BY email; DELETE from users; -- asc

现在我们没有更多的用户:(

我可以手动构建一个有效sort_by的白名单,并将params [:sort_by]与之对比,但希望有一些内置的方式来处理这种事情

解决方法

Ryan Bates的方法

在你的控制器:

def index
  @users = User.order(sort_by + " " + direction)
end

private
  def sort_by
    %w{email name}.include?(params[:sort_by]) ? params[:sort_by] : 'name'
  end

  def direction
    %w{asc desc}.include?(params[:direction]) ? params[:direction] : 'asc'
  end

基本上你是一个白名单,但是很容易做到并且不能注入.

猜你在找的Ruby相关文章