以下代码片段是否容易受到 Rails 5 中 SQL 注入的攻击?

Is the following code snippet vulnerable to SQL injection in Rails 5?

提问人:bananabr 提问时间:12/9/2021 更新时间:12/14/2021 访问量:75

问:

如果 order 参数未清理,以下代码片段是否容易受到 Rails 5 中 SQL 注入的影响?我尝试使用 https://rails-sqli.org/rails5 中提供的示例对其进行测试,但引发了 ActiveRecord::UnknownAttributeReference 异常。这是否意味着代码对 SQLi 是安全的?

@exports = Export.for_public.order(params[:order] || 'created_at DESC').page(params[:page])
SQL Ruby-on-Rails SQL注入

评论

0赞 razvans 12/9/2021
这回答了你的问题吗?默认情况下,ActiveRecord 中的 .order 方法参数是否经过清理?
0赞 bananabr 12/14/2021
@razvans,我认为这 medium.com/@mitsun.chieh/......实际上回答得更好。谢谢你的贡献。

答:

0赞 bananabr 12/14/2021 #1

https://medium.com/@mitsun.chieh/activerecord-relation-with-raw-sql-argument-returns-a-warning-exception-raising-8999f1b9898a 在这里找到了我问题的答案。

上一个:这是否容易受到 sql 注入的影响?

下一个:在 rails 中,推荐的方法来清理用户输入以包含订单