6
如comment_controller.rb看出:SQL注入預防在軌道控制器創建方法
def create
@comment = Comment.new(params[:comment])
@comment.save
end
林假設這是SQL注入不安全。但是,這樣做的正確方法是什麼?所有在網絡上處理的例子都會發現。
A
回答
7
該代碼是安全的SQL注入攻擊。轉義是由ActiveRecord完成的,所以無論何時您調用模型的find,create,new/save或任何其他數據庫交互方法,您都可以。唯一的例外是,如果你使用原始SQL的選項之一,例如:
Comment.find(:all, :conditions => "user_id = #{params[:user_id]}")
首選的形式是:
Comment.find(:all, :conditions => {:user_id => params[:user_id]})
這將防止SQL注入自動受到保護。
4
請注意,您的代碼示例從SQL注入安全,如Alex所解釋的,但從mass assignment exploits不安全。
相關問題
- 1. 試圖在軌道控制器中創建一個方法
- 2. SQL注入預防 - 單行方法?
- 3. 方法注入 - 不在控制器中?
- 4. PHP SQL注入預防
- 5. SQL注入預防 - GET_VARS
- 6. Zend SQL注入預防
- 7. MySqlBulkLoader SQL注入預防
- 8. SQL注入預防與Omniauth
- 9. PHP SQL注入預防語法
- 10. 控制器輸入文本從控制器在軌道上
- 11. 在軌道中重新加載動態創建控制器
- 12. 軌道4引發ArgumentError在控制器#創建
- 13. Mysqli預備聲明(SQL注入預防)
- 14. NoMethodError:undefined方法`保存'軌道控制檯
- 15. 有沒有在軌道攔截控制器請求的方法?
- 16. 未定義的方法`devise_for'在軌道動作控制器
- 17. 在軌道控制器中未定義的方法'做'。
- 18. 創建新的動作腳手架創建控制器在軌道時出錯
- 19. 錢軌道:控制器
- 20. 限制在軌道控制器
- 21. 調試創建!方法裏面的控制器創建方法
- 22. 命名錯誤的軌道 - 創建API控制器
- 23. 何時使用新的和創建軌道控制器
- 24. 傳遞參數來創建控制器軌道
- 25. 如何創建軌道控制器操作?
- 26. 創建生成器軌道
- 27. 導軌 - 創建GettingStarted控制器
- 28. 軌道重構正確sql注入
- 29. 預計模擬在軌控制器
- 30. MySQL注入預防
很好的一點 - 不知道爲什麼這之前沒有發生過我 – DanSingerman 2010-01-27 13:51:19