论坛首页 入门讨论版 rails

paginate_by_sql(原为find_by_sql)中如何避免sql 注入

 
浏览 565 次
主题:paginate_by_sql(原为find_by_sql)中如何避免sql 注入
该帖已经被评为新手帖
作者 正文
  • ali
  • 等级: 初级会员
  • 用户头像
  • 性别:
  • 文章: 38
  • 积分: 80
  • 来自: 广州
最后更新时间:2008-02-28
引用
在一些不得不使用find_by_sql的场合,何如避免sql注入攻击?
简单有效DRY的方法:
where column = #{Base.connection.quote(value)}
返回顶楼
   
  • robbin
  • 等级: 四钻会员
  • 用户头像
  • 性别:
  • 文章: 5131
  • 积分: 1735
  • 来自: 上海
最后更新时间:2008-02-28
引用
你先说说看find_by_swql凭啥会有SQL注入问题?
返回顶楼
   
0 请登录后投票
  • hapybird
  • 等级: 初级会员
  • 用户头像
  • 性别:
  • 文章: 15
  • 积分: 0
  • 来自: 长沙
最后更新时间:2008-02-28
引用
find_by_swql是新的函数吗?还是笔误?
我记得这样子就可以了吧,["where aa=?,bb=?,cc=?",$aa,$bb,$cc]
返回顶楼
   
0 请登录后投票
  • ali
  • 等级: 初级会员
  • 用户头像
  • 性别:
  • 文章: 38
  • 积分: 80
  • 来自: 广州
最后更新时间:2008-02-28
引用
robbin 写道
你先说说看find_by_swql凭啥会有SQL注入问题?


当用到sql聚合函数,比如sum groub by,而且附带有查询条件的时候,不得不用动态生成的查询语句,如下: 
select orders.*,(select sum(PAIR) from items where  order_id=orders.id) 'count' from  
orders where id=#{params[:id]}


在这种情况下,就有注入的可能
返回顶楼
   
0 请登录后投票
  • ali
  • 等级: 初级会员
  • 用户头像
  • 性别:
  • 文章: 38
  • 积分: 80
  • 来自: 广州
最后更新时间:2008-02-28
引用
不好意思,网络问题,重复提交了.
返回顶楼
   
0 请登录后投票
  • ali
  • 等级: 初级会员
  • 用户头像
  • 性别:
  • 文章: 38
  • 积分: 80
  • 来自: 广州
最后更新时间:2008-02-28
引用
同上
返回顶楼
   
0 请登录后投票
  • robbin
  • 等级: 四钻会员
  • 用户头像
  • 性别:
  • 文章: 5131
  • 积分: 1735
  • 来自: 上海
最后更新时间:2008-02-28
引用
明明是你写的不对嘛,怎么能怪find_by_sql呢?

find_by_sql ["select ...... where id = ?", params[:id]]

我用占位符,请问你怎么给我SQL注入?
返回顶楼
   
2 请登录后投票
  • ali
  • 等级: 初级会员
  • 用户头像
  • 性别:
  • 文章: 38
  • 积分: 80
  • 来自: 广州
最后更新时间:2008-02-28
引用
ok,是我笔误,是paginate_by_sql.
paginate_by_sql 接受象[where id=?,params[:id]]这样的Array参数吗?
返回顶楼
   
0 请登录后投票
 
论坛首页 入门讨论版 rails

跳转论坛:
JavaEye推荐