8
如果使用ActiveRecord无法高效地表示查询,那么在插入传递params属性时如何安全使用ActiveRecord::Base.connection.execute?避免使用connection.execute进行sql注入
connection.execute "... #{params[:search]} ..."
A
回答
7
您可以使用ActiveRecord::Sanitization::ClassMethods中的方法。
您必须小心谨慎,因为它们受到保护,因此仅适用于ActiveRecord::Base子类。
在你可以做类似的模型类:
class MyModel < ActiveRecord::Base
def bespoke_query(params)
query = sanitize_sql(['select * from somewhere where a = ?', params[:search]])
connection.execute(query)
end
end
可以send的方法来尝试一下控制台上也:
> MyModel.send(:sanitize_sql, ["Evening Officer ?", "'Dibble'"])
=> "Evening Officer '\\'Dibble\\''"
2
的ActiveRecord有消毒方法,可以让你先清理查询。 也许这是你可以看看的东西:http://apidock.com/rails/v4.1.8/ActiveRecord/Sanitization/ClassMethods/sanitize
我会非常小心地直接插入参数,但是。 你遇到什么问题,你不能使用ActiveRecord?
相关问题
- 1. 避免SQL注入
- 2. 使用mysql_real_escape_string和stripslashes避免SQL注入
- 3. 如何使用sp_executesql避免SQL注入
- 4. Spring(MVC)SQL注入避免?
- 5. 如何避免在Django上使用tinymce进行JavaScript/CSS注入?
- 6. YII一堆插入 - 避免SQL注入
- 7. 如何避免在Npgsql中使用更新命令进行SQL注入?
- 8. 使用非SQL数据库是否避免防范“SQL注入”?
- 9. 如何避免codeigniter中的sql注入
- 10. 在PHP中避免SQL注入
- 11. Zend公司Db的避免SQL注入
- 12. MongoDB如何避免SQL注入混乱?
- 13. PHP - MySQL的避免SQL注入
- 14. 避免sql注入ActiveRecord命令
- 15. PHP代码,以避免SQL注入
- 16. 使用ASP.net保存用户代理时避免SQL注入
- 17. 如何避免使用JPA进行循环引用注释?
- 18. 使用命令参数避免SQL注入
- 19. 使用SqlParameter可以完全避免SQL注入?
- 20. 避免PDO中的SQL注入并使用类似子句
- 21. 避免SQL注入用户生成SQL正则表达式
- 22. 避免MySQL注入Zend_Db类
- 23. Guice:避免懒惰注入
- 24. 避免MySQL注入和XSS
- 25. 避免从C#代码在MSSQL服务器上进行SQL注入的算法?
- 26. 在注册表格中避免SQL注入php
- 27. 避免空进入名单
- 28. 避免通过Facebook进行双重注册注册插件
- 29. exec sql避免sql注入的替代方法是SP_EXECUTESQL?
- 30. “mysqli_real_escape_string”足以避免SQL注入或其他SQL攻击吗?
我想'查询= sanitize_sql('选择* from somewhere where a =?',params [:search])'应该是'query = sanitize_sql(['select * from somewhere where a =?',params [:search]])'编辑 – allthesignals 2015-09-08 01:07:24
。谢谢。 – Shadwell 2015-09-08 07:58:00