ruby-on-rails – 用于rails控制器中create方法的sql注入预防
发布时间:2020-12-17 04:25:05 所属栏目:百科 来源:网络整理
导读:如comment_controller.rb中所示: def create @comment = Comment.new(params[:comment]) @comment.saveend 我假设这是SQL注入 – 不安全.但这样做的正确方法是什么?..网上的所有例子都涉及到发现. 解决方法 该代码不受SQL注入攻击.转义是由ActiveRecord完
如comment_controller.rb中所示:
def create @comment = Comment.new(params[:comment]) @comment.save end 我假设这是SQL注入 – 不安全.但这样做的正确方法是什么?..网上的所有例子都涉及到发现. 解决方法
该代码不受SQL注入攻击.转义是由ActiveRecord完成的,所以每当你调用模型的查找,创建,新建/保存或任何其他进行数据库交互的方法时,你都可以.唯一的例外是如果您使用原始SQL作为其中一个选项,例如:
Comment.find(:all,:conditions => "user_id = #{params[:user_id]}") 首选形式是: Comment.find(:all,:conditions => {:user_id => params[:user_id]}) 这将自动防止SQL注入. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |