在Rails中防止SQL注入

2012-01-11 72 views 2 likes

我想在rails中對一些記錄進行排序，並且我傳遞了一些像created_at DESC這樣的參數，並且想知道 - ActiveRecord是否恰當地轉義了SQL，或者這是一種糟糕的方式做到這一點？我嘗試用?代替，就像我通常對字符串所做的那樣，但儘管我可以在SQLite中使用它，但是PG卻拋出了一個錯誤。在Rails中防止SQL注入

以下是我正在做的工作 - 但想知道它是否安全？

if params[:by] 
     @photos = Photo.find(:all, :order => params[:by])  
    else 
     ...

來源

2012-01-11 Slick23

回答

如果您像上面那樣使用Active Record Query Interface，Rails將執行SQL清理。見http://guides.rubyonrails.org/active_record_querying.html

來源

2012-01-11 02:51:24

相關問題

1. ruby on rails does update_attributes防止sql注入？
2. 防止SQL注入
3. 防止SQL注入在asp.net
4. 防止SQL注入在ZF
5. SQL防止SQL注入
6. 在Ibatis中防止SQL注入
7. 在php中防止SQL注入
8. 防止SQL注入查詢
9. 如何防止SQL注入？
10. 防止SQL注入與PHP
11. pdo防止sql注入
12. TryParse防止SQL注入嗎？
13. 防止SQL注入的PHP
14. 無法防止SQL注入在Rails中的查詢
15. 防止在Django SQL注入形成
16. 如何防止Wordpress中的SQL注入？
17. LINQ-To-SQL如何防止SQL注入？
18. PHP + SQL腳本 - 防止SQL注入
19. 防止代碼注入和SQL/MySQL的注入在CakePHP
20. rails：構建方法是否防止sql注入
21. 在未執行的SQL中防止SQL注入
22. 防止JavaScript注入
23. 防止HTML注入
24. 防止LDAP注入
25. 功能PHP防止SQL注入和XSS
26. 基本瞭解防止sql注入codeigniter
27. SqlDataAdapter - 防止表名上的SQL注入？
28. 加密是否防止sql注入？
29. Zend Framework過濾器，防止sql注入
30. mysqli_real_escape_string如何防止SQL注入失敗？