4
不导轨自动防止做类似的漏洞:Rails - 这是安全的吗?采用URL参数来查询数据库?
由于使用网址:http://a.com/?id=3131313131313
然后在轨道控制器
@comment = Comment.find(params[:id])
不Rails的自动保护的是,或做我需要做的一些类型的验证,以保护应用程序免受黑客攻击?
感谢
A
回答
5
ActiveRecord的发现总是会使用.to_i防止所有的SQL注入魔力。
的Rails也会自动逃逸的东西,在查询这样的:
Comment.where(["id = ?", params[:id]])
但不在
Comment.where("id = #{params[:id]}")
2
是。如果你担心sql注入,它会采取你的参数和消毒。但更好的方法是使用像http://a.com/31343231这样的网址。制作起来相当简单,但看起来更好
+2
它是否也会清理动态查找助手,如'find_by_name(params [:id])'还是更好地执行where语句? – iwasrobbed 2011-04-18 20:53:03
+0
是的,它也会消毒它 – fl00r 2011-04-18 20:55:25
+0
@ fl00r在url中查询数据库是否安全?使用查询字符串 – blackHawk 2016-12-11 07:47:20
相关问题
- 1. 网络安全 - url参数安全吗?
- 2. 我的数据库查询安全
- 3. 通过sqlite查询核心数据数据库是否安全
- 4. URL安全参数
- 5. PHP可以安全地使用unix时间戳来查询mysql数据库吗?
- 6. 线程并发数据库查询安全吗?
- 7. 使用Rails查询数据库where可选参数的方法
- 8. 参数化的SQL查询和安全
- 9. 是否有任何安全的方式来参数化MySQL查询中的数据库名称?
- 10. Rails数据库查询ROR
- 11. Rails javascript数据库查询
- 12. 依赖URL查询参数的顺序是合法还是安全?
- 13. Rails在URL中查询参数两次
- 14. rails数据库其中用参数查询
- 15. 用PHP是这种引用数据库信息安全的方法吗?
- 16. Rails 3 - 是否link_to参数安全?
- 17. 让这个查询安全吗?
- 18. 使用window.location查询页面的GET参数是否安全?
- 19. 这样会话数据更安全吗?
- 20. 这是模数操作安全吗?
- 21. 如何使用url来查询android的远程数据库?
- 22. 将jwt放入url作为GET请求的查询参数是否安全?
- 23. 使用locals()将参数传递给SQL查询是否安全?
- 24. web.config比数据库更安全吗?
- 25. “关系型数据库”安全吗?
- 26. 数据库安全
- 27. ObjectOutputStream:这是安全的吗?
- 28. PHP:这是安全的吗?
- 29. 在Rails中过滤器参数日志 - 数据库查询
- 30. 通过桌面应用程序/安全性查询数据库
所以我应该让我所有的问题像你一样? Comment.where([“id =?”,params [:id]]) 或者我现在在q好吗? – AnApprentice 2011-02-28 01:34:08
@AnApprentice:你使用的'find'没问题。但是(这是一个很大但是),当你使用字符串插值('“id =”“)构建小块SQL时,总是使用占位符格式('[”id =?“,params [:id] #{params [:id]}“')让你开放SQL注入,除非你已经仔细验证了所有的东西,甚至你仍然应该使用占位符来验证你的代码。 – 2011-02-28 02:47:59