我有一个带有以下行的方法
@noticias = Noticia.where(:tags.all => array).paginate(:page => params[:page])
恰好brakeman说它有可能的sql注入。
我尝试了以下代码:
array = params[:query].split(' ')
array.each_with_index do |query, index|
array[index] = array[index].gsub(/<\/?[^>]*>/, "").downcase
end
array.each do |tag|
@noticias << Noticia.where(:tags => tag)
end
但我有类似`undefined&lt;&lt;为零:NilClass
我错过了什么?
答案 0 :(得分:1)
如果您使用的是Mongodb,则可以确保您的代码不受SQL注入。
尽管MongoDB不容易受到SQL注入之类的攻击,但可能需要检查搜索字符串是否存在任何恶意内容。 mongodb tutorial