Rails SQL注入？

2010-06-02 85 views 29 likes

在Rails中，當我想通過一個用戶給定值找到並避免SQL注入（逃避撇號等），我可以做這樣的事情：Rails SQL注入？

Post.all(:conditions => ['title = ?', params[:title]])

我知道，這樣做都是不安全的（可能的SQL注入）是這樣的：

Post.all(:conditions => "title = #{params[:title]}")

我的問題是，下列方法是否阻止SQL注入？

Post.all(:conditions => {:title => params[:title]})

回答

是的，它的確如此。只有第二個是危險的。

2010-06-02 23:10:12 fphilipe

感謝您的直接回復。 – 2010-06-02 23:48:09

+1 @fphilipe和@yuval檢查從railscast這5分鐘的視頻，這一次從rails guide

2010-06-02 23:12:49

謝謝，我已經看到了這個，但它不包括我的問題（關於最後的發現） – 2010-06-02 23:48:33

一個good reference從RoR的指南。

2010-06-02 23:13:25 edthix

謝謝，這是相關的。 – 2010-06-02 23:49:31

相關問題