如何解决是否有一种无需准备函数即可使用占位符执行查询的方法?
我的代码库有一个潜在的SQL注入漏洞,我想对此进行保护。我在代码库中有一些查询,在其中将变量以纯文本形式放置,如下所示:
ActiveRecord::Base.connection.execute(
%{
SELECT ...
FROM ...
JOIN ...
WHERE ...
... model.foreign_id IN (#{array_of_ids})
GROUP BY 1;
}
)
我之所以这样,是因为由于查询的复杂性,我们无法使用内置的ActiveRecord查询(有些情况我们希望控制)。
我的第一个想法是使用exec_query,但是我发现我不能使用它。我在事务模式下使用pgbouncer,因此prepare_statements必须保持关闭状态。有没有不用准备函数就可以用占位符执行查询的方法吗?
解决方法
您可以使用ActiveRecord清理方法
ActiveRecord::Base.sanitize_sql(['? IN ?','foreign_key',[1,';true=true']])
=> "'model_name.foreign_key' IN 1,';true=true'"
https://github.com/rails/rails/blame/8642c564dab37366c2ca8950b428d1aec84eb10d/activerecord/lib/active_record/sanitization.rb https://github.com/rails/rails/commit/9d43a84f73c1b3853a91d052a462ee60eccaf957
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。