在id取记录后放〜
如果我们有一个Active Record数据库说Users
User.find(id)按预期工作:
但User.find('id~')
也是User.find('id~gibberish')
这是ActiveRecord的漏洞还是漏洞?
我如何妥善处理此类请求?
1 个答案:
答案 0 :(得分:4)
这应该有助于澄清一些问题,它不是ActiveRecord,它是您所见过的Ruby to_i方法。
2.2.1 :001 > '11'.to_i
=> 11
2.2.1 :002 > '11~'.to_i
=> 11
2.2.1 :003 > '11~gibberish'.to_i
=> 11
这不是漏洞也不是漏洞。如果你担心这样的输入,我会问一个你认为可能会对你造成伤害的例子。
此外,如果您想要超级防守,请使用Integer(
2.2.1 :004 > Integer('11~gibberish')
ArgumentError: invalid value for Integer(): "11~gibberish"
2.2.1 :005 > Integer('11')
=> 11
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?