所以我想动态地将过滤器参数传递给我的where方法,所以基本上我有这个
@colleges = College.where(@filter).order(@sort_by).paginate(:page => params[:page], :per_page => 20)
@where只是用这种方法构建的字符串
def get_filter_parameters
if params[:action] == 'index'
table = 'colleges'
columns = College.column_names
else
table = 'housings'
columns = Housing.column_names
end
filters = params.except(:controller, :action, :id, :sort_by, :order, :page, :college_id)
filter_keys = columns & filters.keys
@filter = ""
first = true
if filter_keys
filter_keys.each do |f|
if first
@filter << "#{table}.#{f} = '#{filters[f]}'"
first = false
else
@filter << " AND #{table}.#{f} = '#{filters[f]}'"
end
end
else
@filter = "1=1"
end
问题是我不知道将原始SQL放入where那样的where方法有多好。我通常知道你可以做的事情:state =&gt; 'PA',但我该怎么做呢?
更新
好的,所以我现在传递一个哈希并且有这个:
if params[:action] == 'index'
columns = College.column_names
else
columns = Housing.column_names
end
filters = params.except(:controller, :action, :id, :sort_by, :order, :page, :college_id)
filter_keys = columns & filters.keys
@filter = {}
if filter_keys
filter_keys.each do |f|
@filter[f] = filters[f]
end
end
这足以防止注射吗?
答案 0 :(得分:4)
在此代码中:
College.where(:state => 'PA')
我们实际上是在传递一个哈希对象。这意味着相同。
filter = { :state => 'PA' }
College.where(filter)
因此,您可以构建此哈希对象而不是字符串:
table = "colleges"
field = "state"
value = "PA"
filter = {}
filter["#{table}.#{field}"] = value
filter["whatever"] = 'omg'
College.where(filter)
然而, 要小心这个!
根据此信息的来源,您可以通过将用户提供的字符串放入查询的字段名称来打开SQL注入攻击。如果使用得当,Rails将清理查询中的值。但是,通常列名由应用程序代码修复,不需要进行清理。因此,您可以通过这种方式绕过一层SQL注入保护。