ruby-on-rails – Rails – 这样安全吗?使用URL参数查询数据库
发布时间:2020-12-17 03:34:32 所属栏目:百科 来源:网络整理
导读:Rails是否会自动防止执行以下操作的漏洞: 给定一个URL:http://a.com/?id=3131313131313 然后在rails控制器中 @comment = Comment.find(params[:id]) Rails是否自动保护,或者我是否需要进行某种类型的验证以保护应用免受黑客攻击? 谢谢 解决方法 ActiveRec
Rails是否会自动防止执行以下操作的漏洞:
给定一个URL:http://a.com/?id=3131313131313 然后在rails控制器中 @comment = Comment.find(params[:id]) Rails是否自动保护,或者我是否需要进行某种类型的验证以保护应用免受黑客攻击? 谢谢 解决方法
ActiveRecord find总是会使用.to_i来防止所有SQL注入魔法.
Rails也会在这样的查询中自动转义: Comment.where(["id = ?",params[:id]]) 但不是 Comment.where("id = #{params[:id]}") (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |