2
update_attributes可以防止sql注入嗎?ruby on rails does update_attributes防止sql注入?
例子:
if @user.update_attributes(params[:user])
# updated
end
我知道找到()和{}並在找到[]做:條件,但沒有看到這種方法的任何信息。
A
回答
4
是的,它的確如此。在內部,它只是遍歷所有屬性,設置它們的值然後調用保存!
def update_attributes(attributes)
with_transaction_returning_status do
self.attributes = attributes
save
end
end
def attributes=(new_attributes, guard_protected_attributes = true)
...
attributes.each do |k, v|
if k.include?("(")
multi_parameter_attributes << [ k, v ]
elsif respond_to?("#{k}=")
send("#{k}=", v)
else
raise(UnknownAttributeError, "unknown attribute: #{k}")
end
end
end
換句話說,它的作用是
m.update_attributes(:attr1 => "foo", :attr2 => "bar")
m.attr1 = "foo"
m.attr2 = "bar"
m.save
2
Rails3中與數據庫交互的所有activerecord方法對於sql注入都是安全的。
唯一的例外是,如果你使用原始SQL的選項之一,例如:
Comment.find(:all, :conditions => "user_id = #{params[:user]}")
首選的形式是:
Comment.find(:all, :conditions => {:user_id => params[:user})
這將防止SQL注入自動受到保護。
相關問題
- 1. 通過ruby腳本防止SQL注入
- 2. 防止SQL注入
- 3. Ruby on Rails依賴注入
- 4. 防止SQL注入
- 5. 防止sql注入
- 6. 在Rails中防止SQL注入
- 7. 防止遷移回滾Ruby on Rails
- 8. 如何防止SQL注入?
- 9. Ruby on Rails - SLIM - SCSS - 注入ruby變量
- 10. SQL防止SQL注入
- 11. 防止插入SQL注入
- 12. 防止SQL注入ASP .NET
- 13. 防止SQL注入的PHP
- 14. Delphi - 防止SQL注入
- 15. PHP防止SQL注入/ XSS
- 16. TryParse防止SQL注入嗎?
- 17. pdo防止sql注入
- 18. 2012年防止SQL注入
- 19. 防止SQL注入與PHP
- 20. 試圖防止sql注入
- 21. 防止SQL注入查詢
- 22. 防止SQL注入在asp.net
- 23. 防止SQL注入在ZF
- 24. Ruby on Rails和XSS預防
- 25. Ruby on rails邀請/註冊
- 26. 登錄/註冊Ruby on Rails?
- 27. Ruby on Rails註冊數據?
- 28. 關注請求Ruby on Rails
- 29. 使用activerecord防止sql注入
- 30. 防止動態SQL中的SQL注入