1
我想要做這樣的事情在Rails的:ActiveRecord的訂單方法是否可以安全地插入用戶輸入的字符串?
People.order("#{params[:sort]}, first_name, middle_name, last_name")
這安全嗎?或者我需要自己解析params[:sort],並確保它是預先列出的有效列表?我不介意發生數據庫錯誤,但我不能有SQL注入的可能性。
A
回答
0
0
你可以這樣做:
if People.attribute_names.include?(params[:sort].to_s)
People.order("#{params[:sort]}, first_name, middle_name, last_name")
end
相關問題
- 1. find_by_ [dynamic] Activerecord方法對於未分類輸入是否安全?
- 2. 可嵌入文本是用戶可以插入html的地方
- 3. 是否可以「安全地」清零Golang字符串的內存?
- 4. 是否可以安全地取消引用字符串
- 5. FILTER_VALIDATE_EMAIL是否可以安全地插入數據庫中?
- 6. 是否可以在輸入類型=「數字」中插入符號
- 7. Javascript消毒:插入可能的XSS html字符串的最安全的方法
- 8. 是否可以引用帶有用戶輸入的字符串? c#
- 9. 安全的用戶輸入
- 10. 安全方便地對用戶輸入和輸出進行安全消毒的真正方法是什麼
- 11. 是否可以將用戶輸入的單詞存儲爲字符數組?
- 12. 檢查輸入是否爲字符串的方法
- 13. PHP安全地接收用戶輸入
- 14. 更新R包的安全方法 - 是否可以「熱插拔」?
- 15. 是否可以直接從用戶(標準輸入)接受字符串流?
- 16. 長入字符串 - 是StrToInt()安全嗎?
- 17. 檢查用戶輸入的字符串是否在數組中
- 18. 如何檢查用戶輸入的字符串是否與
- 19. 檢查用戶輸入是否=定義的字符串
- 20. 是否可以從文本框插入字符串到列中?
- 21. C++檢測用戶是否輸入字符串而不是輸入
- 22. 基於用戶輸入的動態插入安全標記
- 23. 是否可以從輸入流中讀取單個字符?
- 24. mysql是否可以插入到插入?
- 25. 從用戶輸入中獲取字母數字字符串的安全方法? (without preg_replace)
- 26. 是否安全執行用戶輸入的表達式IronPython
- 27. 一個簡單的字符串輸入的字符串算法
- 28. 字符串的用戶輸入
- 29. 字符串和用戶輸入的C++
- 30. PHP安全性:評估用戶輸入的字符串的風險
我想要一個逗號國家環保總局評級列表的屬性,但這回答了我的問題。謝謝 –