4
不導軌自動防止做類似的漏洞:Rails - 這是安全的嗎?採用URL參數來查詢數據庫?
由於使用網址:http://a.com/?id=3131313131313
然後在軌道控制器
@comment = Comment.find(params[:id])
不Rails的自動保護的是,或做我需要做的一些類型的驗證,以保護應用程序免受黑客攻擊?
感謝
A
回答
5
ActiveRecord的發現總是會使用.to_i防止所有的SQL注入魔力。
的Rails也會自動逃逸的東西,在查詢這樣的:
Comment.where(["id = ?", params[:id]])
但不在
Comment.where("id = #{params[:id]}")
2
是。如果你擔心sql注入,它會採取你的參數和消毒。但更好的方法是使用像http://a.com/31343231這樣的網址。製作起來相當簡單,但看起來更好
+2
它是否也會清理動態查找助手,如'find_by_name(params [:id])'還是更好地執行where語句? – iwasrobbed 2011-04-18 20:53:03
+0
是的,它也會消毒它 – fl00r 2011-04-18 20:55:25
+0
@ fl00r在url中查詢數據庫是否安全?使用查詢字符串 – blackHawk 2016-12-11 07:47:20
相關問題
- 1. 網絡安全 - url參數安全嗎?
- 2. 我的數據庫查詢安全
- 3. 通過sqlite查詢核心數據數據庫是否安全
- 4. URL安全參數
- 5. PHP可以安全地使用unix時間戳來查詢mysql數據庫嗎?
- 6. 線程併發數據庫查詢安全嗎?
- 7. 使用Rails查詢數據庫where可選參數的方法
- 8. 參數化的SQL查詢和安全
- 9. 是否有任何安全的方式來參數化MySQL查詢中的數據庫名稱?
- 10. Rails數據庫查詢ROR
- 11. Rails javascript數據庫查詢
- 12. 依賴URL查詢參數的順序是合法還是安全?
- 13. Rails在URL中查詢參數兩次
- 14. rails數據庫其中用參數查詢
- 15. 用PHP是這種引用數據庫信息安全的方法嗎?
- 16. Rails 3 - 是否link_to參數安全?
- 17. 讓這個查詢安全嗎?
- 18. 使用window.location查詢頁面的GET參數是否安全?
- 19. 這樣會話數據更安全嗎?
- 20. 這是模數操作安全嗎?
- 21. 如何使用url來查詢android的遠程數據庫?
- 22. 將jwt放入url作爲GET請求的查詢參數是否安全?
- 23. 使用locals()將參數傳遞給SQL查詢是否安全?
- 24. web.config比數據庫更安全嗎?
- 25. 「關係型數據庫」安全嗎?
- 26. 數據庫安全
- 27. ObjectOutputStream:這是安全的嗎?
- 28. PHP:這是安全的嗎?
- 29. 在Rails中過濾器參數日誌 - 數據庫查詢
- 30. 通過桌面應用程序/安全性查詢數據庫
所以我應該讓我所有的問題像你一樣? Comment.where([「id =?」,params [:id]]) 或者我現在在q好嗎? – AnApprentice 2011-02-28 01:34:08
@AnApprentice:你使用的'find'沒問題。但是(這是一個很大但是),當你使用字符串插值('「id =」「)構建小塊SQL時,總是使用佔位符格式('[」id =?「,params [:id] #{params [:id]}「')讓你開放SQL注入,除非你已經仔細驗證了所有的東西,甚至你仍然應該使用佔位符來驗證你的代碼。 – 2011-02-28 02:47:59