0
我试图避免在订购时进行sql注入,但我也需要确保NULLS是最后一个。避免sql注入ActiveRecord命令
query = books.order(@vals['order'] + ' NULLS LAST')
但是,如果我采取@vals [“顺序”]作为API参数我易受SQL注入。有没有更好的方式来形成命令来避免这种情况?
A
回答
1
如果这实际上只是一个API,那么我只会为您的API使用者提供某些类型的订购,并在您的代码中预先捕获订单条件(例如,白名单方法)。
if @evals['order'] == 'title'
ordering = 'title'
elsif @evals['order'] == 'published'
ordering = 'created_at'
else
ordering = 'id'
end
query = books.order(ordering + ' NULLS LAST')
这不是最漂亮的代码,但至少你会安全无需解析参数。
相关问题
- 1. 避免SQL注入
- 2. 使用命令参数避免SQL注入
- 3. Spring(MVC)SQL注入避免?
- 4. YII一堆插入 - 避免SQL注入
- 5. 如何避免在Npgsql中使用更新命令进行SQL注入?
- 6. 如何避免codeigniter中的sql注入
- 7. 在PHP中避免SQL注入
- 8. Zend公司Db的避免SQL注入
- 9. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 10. 如何使用sp_executesql避免SQL注入
- 11. MongoDB如何避免SQL注入混乱?
- 12. PHP - MySQL的避免SQL注入
- 13. 避免使用connection.execute进行sql注入
- 14. PHP代码,以避免SQL注入
- 15. 避免MySQL注入Zend_Db类
- 16. Guice:避免懒惰注入
- 17. 避免MySQL注入和XSS
- 18. 在注册表格中避免SQL注入php
- 19. SQL注入和ActiveRecord的
- 20. exec sql避免sql注入的替代方法是SP_EXECUTESQL?
- 21. 避免SQL注入用户生成SQL正则表达式
- 22. “mysqli_real_escape_string”足以避免SQL注入或其他SQL攻击吗?
- 23. 使用非SQL数据库是否避免防范“SQL注入”?
- 24. 避免在插入SQL SERVER
- 25. 如何注入SQL命令在Java
- 26. Rails:允许免费的文本SQL过滤器,并仍然避免SQL注入
- 27. 避免回发命令字段
- 28. 避免matlab命令历史时间戳
- 29. 避免getfield命令的操作码
- 30. GWT命令注入
并不像处理注射后那样丑陋;)谢谢! – lostintranslation
任何方式动态允许在表中的任何列的顺序。 I.E.而不用硬编码所有列。 – lostintranslation
Puh ......我不知道从头顶上看,但也许你可以看一下AR文档,看看是否有一个函数为你提供模型的所有属性。然后你可以重复这个...但是真的,我不知道从头顶上。 –