使用Model.find(params[:id])会导致sql注入漏洞吗?
答案 0 :(得分:2)
不,它不能。引导来自指南(http://guides.rubyonrails.org/security.html#sql-injection):
Ruby on Rails有一个特殊SQL字符的内置过滤器,它将逃脱' ," ,NULL字符和换行符。使用Model.find(id)或Model.find_by_some(某事)会自动应用此对策。
BTW你可能意味着Model.find(params[:id])或Model.find_by(id: params[:id]),Model.find(id: params[:id])毫无意义。