1
構建防止sql注入嗎?rails:構建方法是否防止sql注入
例子:
@post = @user.posts.build(params[:post])
@post.save
沒看到建在軌安全文檔。
謝謝!
A
回答
2
build本身不會向數據庫寫入任何內容,所以SQL注入不適用。當您致電save時,無論對象是通過build創建還是通過其他機制(例如將屬性傳遞給new或使用單個attribute=方法創建),都將使用相同的代碼將對象保存到數據庫。
返回已通過連接表實例化 屬性和鏈接到該對象 集合 類型的新對象,但還沒有 尚未保存。
的save方法使用適合於您正在使用(如MySQL的),使得所得insert或create查詢不容易受到SQL注入數據庫的方法逃避任何報價等在你的屬性值。這同樣適用於update_attributes以及您傳遞給find的任何參數化的:conditions。當你需要小心並且可能需要做一些手動轉義的時候,如果你曾經將字符串作爲查詢傳遞給數據庫連接。
相關問題
- 1. 加密是否防止sql注入?
- 2. psychopg2:是否cursor.mogrify防止sql注入?
- 3. 在Rails中防止SQL注入
- 4. ruby on rails does update_attributes防止sql注入?
- 5. 防止SQL注入
- 6. SQL防止SQL注入
- 7. 這是防止SQL注入Wordpress查詢的最佳方法
- 8. 這是一個安全的方法來防止SQL注入?
- 9. 防止SQL注入mysql的最佳方法是什麼
- 10. 是否阻止查詢命令足以防止SQL注入?
- 11. 防止SQL注入查詢
- 12. 如何防止SQL注入?
- 13. 防止SQL注入與PHP
- 14. pdo防止sql注入
- 15. 防止SQL注入在asp.net
- 16. 防止SQL注入在ZF
- 17. TryParse防止SQL注入嗎?
- 18. 防止SQL注入的PHP
- 19. 無法防止SQL注入在Rails中的查詢
- 20. 此處準備的語句是否防止SQL注入
- 21. PHP activerecord基本CRUD操作是否可以防止SQL注入?
- 22. 是否Symfony的2請求對象防止SQL注入
- 23. htaccess重寫規則是否有助於防止SQL注入?
- 24. Hibernate Criteria Api是否完全防止SQL注入
- 25. 使用存儲過程是否防止SQL注入/ XSXX攻擊?
- 26. 使用Javascript或C#防止SQL注入的最佳方法?
- 27. LINQ-To-SQL如何防止SQL注入?
- 28. PHP + SQL腳本 - 防止SQL注入
- 29. 僅SSL是否阻止SQL注入?
- 30. 準備語句時防止SQL注入的最佳方法是不可能的
重複:http://stackoverflow.com/questions/2144778/sql-injection-prevention-for-create-method-in-rails-controller – dombesz 2010-07-07 09:39:16
這不是一個真正的重複,因爲它不詢問有關使用' build'。此外,可能的重複內容應該可以作爲對問題的評論而不是答案發布。 – mikej 2010-07-07 12:38:17