微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

如何修复 sql 注入顺序 Rails 查询

如何解决如何修复 sql 注入顺序 Rails 查询

我是 ruby​​ 新手,关注 this 博客修复了 sql 注入错误,但我的查询出错了。

原始查询

class Car < ActiveRecord::Base
  ...
  has_one :Driver,lambda {
     where(status: PASSENGER_STATUS,connected_number: [phone,mobile])
    .order("FIELD (`classDummy`.`status`,#{PASSENGER_STATUS.join(',')}")
  },class_name: :classDummy

而 PASSENGER_STATUS 是(在其他类中)

PASSENGER_STATUS = [
  'employed','temporary'
  ].freeze

sql 注入修复我做了

  order("FIELD (`classDummy`.`status`,? )",PASSENGER_STATUS.join(','))

但是这是在执行查询时抛出异常。

我得到的例外:

ActiveRecord::StatementInvalid: MysqL2::Error: 你的 sql 语法有错误;检查与您的 MysqL 相对应的手册 '?,

附近使用正确语法的服务器版本

解决方法

正如 Geoffroy 已经指出的那样,在您的具体示例中,没有 SQL 注入的风险,因为输入数据在您的控制之下。

但是,您可以在 Rails 文档中找到 sanitize_sql_for_order。文档中的示例与您的用例完全匹配:

sanitize_sql_for_order(condition)

接受一个数组或 SQL 条件字符串,并将它们清理为 ORDER 子句的有效 SQL 片段。

sanitize_sql_for_order(["field(id,?)",[1,3,2]])
# => "field(id,1,2)"

sanitize_sql_for_order("id ASC")
# => "id ASC"

使用这种方法你可以像这样编写你的关联:

has_one :Driver,lambda {
     where(status: PASSENGER_STATUS,connected_number: [phone,mobile])
       .order(sanitize_sql_for_order(["FIELD(`classDummy`.`status`,PASSENGER_STATUS])
},class_name: :classDummy
,

您阅读的博客是关于处理用户输入的,在这种情况下,防止 sql 注入非常重要。

在:

order("FIELD (`classDummy`.`status`,#{PASSENGER_STATUS.join(',')})")

您是 SQL 查询中的注入代码,但它是您控制的代码并且您确切地知道它是什么,因此不存在 SQL 注入的风险。

关于您的问题,order 在生成查询时不会替换参数 ?,它根本不像 where 那样工作。

换句话说:使用您之前使用的代码,它运行得非常好并且不受 SQL 注入的影响(只要您控制 PASSENGER_STATUS 是什么)

检查日志以查看发送到服务器的 SQL 查询,您将更好地了解发生了什么

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。