SQL中的SQLI。这可能吗?
在rails 5中,我有一个显示页面,然后我用以下内容查询@client:
<% for client in @client.nearbys(500, :units => :km).where("(membertype_id = 3) OR (membertype_id = 4)")
..问题是关于.where语句。 .where语句是否可以防止SQL注入或其他攻击?如果没有,你会用其他什么方式写这个?
编辑:我的路线和控制器中只有一个节目动作。
2 个答案:
答案 0 :(得分:1)
视图中的这种逻辑在某种意义上是错误的,视图层不负责从数据库查询数据 - 它是呈现数据的任务。
将其移至控制器,然后在视图中使用@clients实例变量:
def show
# equal to @client.nearbys(500, units: :km).where(membertype_id: [3,4])
@client = @client.nearbys(500, :units => :km).where("(membertype_id = 3) OR (membertype_id = 4)")
end
这种方式无需担心安全问题。
修改
正如我在评论中所说的那样,硬编码(就像你一样)就像在模型或控制器中硬编码一样安全 - 没有区别。
答案 1 :(得分:1)
首先,您似乎并不了解SQL注入的内容:
当您从用户那里获取输入并使用它构造SQL查询字符串时,会发生SQL注入漏洞。
User.where("foo = #{params[:bar]}")
因此,如果用户通过"'foo'); DROP TABLE 'users';--",您就会被搞砸。
User.where("foo = ?", params[:bar])
另一方面,没有此漏洞,因为数据库将?替换为单独提供的值。因此,它会引用"'foo'); DROP TABLE 'users'",以便它仅作为值插入。
:
中没有SQLI漏洞@client.nearbys(500, :units => :km).where("(membertype_id = 3) OR (membertype_id = 4)")
因为您没有插入任何用户输入。
但它还是错的。
在MVC中,您应该避免在视图中进行数据库查询。您的视图应该只从控制器获取数据并使用它来生成HTML。
在您的视图中进行查询会导致代码重复,数据库优化不佳等。
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?