Rails SQL injection?

W Rails, gdy chcę znaleźć przez użytkownika danej wartości i uniknąć SQL injection (uciec apostrof i tym podobne) można zrobić coś takiego:Rails SQL injection?

Post.all(:conditions => ['title = ?', params[:title]])

wiem, że niebezpieczny sposób to zrobić (możliwe SQL injection) to:

Post.all(:conditions => "title = #{params[:title]}")

Moje pytanie brzmi, czy następująca metoda zapobiega iniekcji SQL, czy nie?

Post.all(:conditions => {:title => params[:title]})

Źródło

2010-06-02 Yuval Karmi

Tak, robi. Tylko ten drugi jest niebezpieczny.

Źródło

2010-06-02 23:10:12 fphilipe

Dziękuję za bezpośrednią odpowiedź. –

+1 @fphilipe i @yuval Zaznacz to 5 min wideo z railscast i ten jeden z rails guide

Źródło

2010-06-02 23:12:49

Dzięki, widziałem już to, ale nie obejmuje ono mojego pytania (odnoszącego się do ostatniego znaleziska). –

One good reference z prowadnic RoR.

Źródło

2010-06-02 23:13:25 edthix

Dziękuję, to jest istotne. –

Rails SQL injection?

Odpowiedz

Powiązane problemy