Verhinderung von SQL-Injection/Gute Ruby-Methode

Was ist eine gute Methode in Ruby, um SQL-Injection verhindern?

  • Über die Bibliothek?
  • Ach überhaupt, ich werde greifen, je nachdem, was jemand empfiehlt.
  • Ich bin ein wenig überrascht, downvoting, aber es hat vielleicht geholfen, wenn Sie erwähnt, ob Sie mit einer web-framework oder mit plain old ruby-Objekte.
  • Ja, aber imo ruby = ruby. So sollte es bedeuten, gerade ruby. Auch kann jeder klicken Sie auf mein Profil und sehen, ob ich andere rails Fragen, die ich so noch nicht.
InformationsquelleAutor Zombies | 2010-02-13
  1. 7

    in gerade ruby? verwenden Sie vorbereitete Anweisungen:

    require 'mysql'
db = Mysql.new('localhost', 'user', 'password', 'database')
statement = db.prepare "SELECT * FROM table WHERE field = ?"
statement.execute 'value'
statement.fetch
statement.close
    • Mein problem mit diesem ist, dass es gibt ein array zurück, der die Ergebnisse im Gegensatz zu einem Feld oder etwas viel mehr überschaubar.....
    • Dies Ist nur ein Beispiel für die Verwendung von prepared statements für eine select-Abfrage. Was Sie tun, mit den Ergebnissen ist bis zu Ihnen.
    InformationsquelleAutor Mike Sherov
  2. 3

    Nicht nur in Rubin - bind-Parameter (werden in der Datenbank oder im client-code).

    InformationsquelleAutor davek
  3. 3

    Bitte zuerst die Anleitung, die Sie haben, bis auf diese: http://guides.rubyonrails.org/security.html#injection

    Im Grunde wollen Sie verwenden Sie bind-Variablen in Ihre Modelle, Daten zu finden, anstatt inline-Parameter..

    Model.find(:first, :conditions => ["login = ? AND password = ?", entered_user_name, entered_password])
    • Ja, das sieht gut aus. Ziemlich viel, was ich gewöhnt bin, in Java, Dank.
    • Man sollte zumindest erwähnen, dass Sie reden über active record.
    • Ich war gerade über einen Kommentar auf dieser.. in meiner Eile vergaß ich zu Lesen, dass es nicht speziell für Rails/ActiveRecord.. sorry!
    InformationsquelleAutor Dan McNevin
  4. 0

    Laut http://ruby.railstutorial.org/ können Sie verhindern, dass Cross-Site Request Forgery durch einfügen der 

    <%= csrf_meta_tags %>

    - tag in den header der app/views/layouts/application.html-Code.erb.

    Direkte Verbindung von Beispiel

    • Gute Idee für diejenigen, die Arbeit mit web-frameworks, SQL Inejection != XSS
    InformationsquelleAutor Pixic
  5. 0

    Diesen thread verweisen:

    http://www.ruby-forum.com/topic/90258#new

    http://www.ruby-forum.com/topic/82349#143790

    ActiveRecord die find () - Methode verfügt über eingebaute Möglichkeiten zur Vermeidung von SQL-injection durch
    mit dem format

     >  :conditions => [ "user_name = ?", user_name]

    Gibt es ein solches system für Flucht-Injektion in Ordnung ist? Es scheint
    nur einen string entgegennimmt und ihn an der SQL-Anweisung. Dies bewirkt, dass eine
    Sicherheitsanfälligkeit bei der Verwendung params zu setzen : um in dieser Funktion:

         def list
sort_by = params[:sort_by]
@book_pages, @books = paginate :books,
                               :order => sort_by,
                               :per_page => 10
    end

    Wir haben versucht, ein paar Methoden zu desinfizieren sort_by wie order => ['?',
    sort_by] aber es passt einfach, dass der SQL-Anweisung wie eine abgeflachte
    array. Die 'Flucht Magie' funktioniert nicht für Ordnung. Sollte ich benutzen
    gsub! zu desinfizieren params[:sort_by]?

    InformationsquelleAutor A.lakkantha
Schreibe einen Kommentar