Ruby on Rails如何防止SQL注入。

最新推荐文章于 2022-12-16 21:04:31 发布
最新推荐文章于 2022-12-16 21:04:31 发布
阅读量1k 收藏
点赞数
分类专栏: RubyOnRails
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edison702/article/details/8148074
版权
代码: 
sort_by = "email" # really params[:sort_by]


sort_direction = "asc" # really params[:sort_direction]


User.order("#{sort_by} #{sort_direction}")

# SELECT "users".* FROM "users" ORDER BY email asc



如果 查询的是
sort_by = "email; DELETE from users; --"


User.order("#{sort_by} #{sort_direction}")

# SELECT "users".* FROM "users" ORDER BY email; DELETE from users; -- asc



把user全都删除了,   order.find(:all, :conditions=>"name='#{name}'")



在conditions里面使用#()是非常不好的做法,这样传入数据库的sql语句不会经过任何的安全过滤。



解决方案: 1. Ryan Bates' method:

def index
  

  @users = User.order(sort_by + " " + direction)

end





private
  def sort_by
    

  %w{email name}.include?(params[:sort_by]) ? params[:sort_by] : 'name'
  

end

  



def direction


  %w{asc desc}.include?(params[:direction]) ? params[:direction] : 'asc'
  

end



这样把判断后的结果传回去。 如果不知道sort的列名, 也可以用User.column_names 来代替 %w{email name}



2. 使用Active Record 提供的变量绑定功能对查询语句进行“消毒”,这些邦定的变量会成为你的SQL 语句的一部分。 考虑下面的方法, 他以 id 作为参数查询你的 记录。
参考: http://sunfengcheng.iteye.com/blog/232636



3. 使用占位符

参考: http://blog.waynedeng.com/?p=145

edison702
关注
专栏目录
Ruby On Rails代码执行漏洞(CVE-2020-8163)技术分析与研判防护
不忘初心,护天下安全!
07-18 1666
RubyonRails5.0.1之前版本存在代码注入漏洞。远程攻击者可利用该漏洞发送特制请求执行任意代码。参考https//github.com/QianliZLP/CVE-2020-8163-即可。RubyonRailsRails团队的一套基于Ruby语言的开源Web应用框架。system(“【具体指令】”);在研判中较为明显,一般为。......
ruby on rails 3 tutorial.pdf
11-29
此外,本书还会介绍Rails的安全实践,包括防止SQL注入、XSS攻击等常见Web安全问题。你将学习如何使用strong parameters、CSRF令牌以及正确设置cookies策略来保护你的应用。 最后,你会了解到如何部署你的Rails应用...
RailsCasts中文版,#25 SQL Injection 谨防SQL注入
边晓宇@CSDN
06-04 4162
接下来的几篇,我们会讨论一些关于安全的话题,以免你的站点频频遭受黑客的攻击。其中第一个基本安全原则就是永远不要信赖来自用户的输入。在Rails中来讲就是说,从页面参数中传递进来的数据一定要小心对待。用户可以有意的设置参数值,甚至可以设置参数键,所以得谨慎的使用。这个原则对于cookie数据也同样适用。而会话数据中的内容是由我们的程序控制的,可以放心使用。 所有安全问题中,SQL注入是最最臭名昭著
railsSQL注入
u010258505的专栏
09-11 1451
除非你做到网站完全静态化,否则,有用户输入的地方就有SQL注入的可能,我们应该注意到这些潜在的危险 在 防SQL注入方面,ruby和php相比要逊色一些,php提供了多个过滤函数,直接调用即可,但ruby需要自己去写正则; 当然,rails在与数据库交互时,参数化查询方面做得很到位,举例如下: 一:         错误写法:Department.find :first,:condit
rails 防止SQL注入式攻击
cheng716051的博客
08-26 86
[size=x-large][color=green] 防止SQL注入式攻击 SQL 代码注入攻击是最常见的一种攻击WEB应用程序的方法。 这种攻击的结果是让你的数据库被破坏或者完全暴露。最好的防范SQL代码注入的方式是过滤掉所有输入的信息。 并且对最后的结果进行转义输出。 解决方法: 使用Active Record 提供的变量绑定功能对查询语句进行“消毒”,这些邦...
Rails:find_by_sql
dengxingbo的专栏
11-05 4289
      # Executes a custom SQL query against your database and returns all the results.  The results will       # be returned as an array with columns requested encapsulated as attributes of the model
Rails 3爆SQL注入漏洞
06-05 122
Ruby on Rails近日爆出了一个关键的漏洞,该漏洞允许攻击者在数据库服务器上执行SQL命令,比如,攻击者可以发起SQL注入攻击来读取未经授权的机密信息。目前该漏洞已修复,可通过文章最后的链接下载修复版本。 ...
Ruby on Rails Guides v2 - Ruby on Rails 4.2.5
11-30
- **措施**:Rails提供了多种内置的安全特性,如防止跨站脚本攻击(XSS)、SQL注入等。 #### 十、下一步 - **学习路径**:继续深入学习Rails的高级特性,如Active Record模式、表单构建器等。 - **社区资源**:加入...
rails-style-guide:社区驱动的Ruby on Rails样式指南
02-01
- 使用强参数(Strong Parameters)来限制模型接受的数据,防止XSS和SQL注入。 - 尽可能少地在控制器中创建实例变量,使用`render`或`redirect_to`结束动作。 6. **模型**: - 遵循ActiveRecord的约定优于配置...
rails_sample_app:Ruby on Rails 教程
06-21
开发者还需关注XSS(跨站脚本)和SQL注入等安全问题。 **11. 部署** 完成开发后,可以将Rails应用部署到云服务提供商如Heroku,或者自建服务器上,如使用Nginx+Passenger、Puma或Unicorn等Web服务器。 通过深入...
paginate_by_sql(原为find_by_sql)中如何避免sql 注入
遇见上帝了 ^_^
02-28 266
在一些不得不使用find_by_sql的场合,何如避免sql注入攻击? 简单有效DRY的方法: where column = #{Base.connection.quote(value)}
[SCTF2019]Flag Shop (RUBY模板注入)
最新发布
qq_62046696的博客
12-16 759
直接修改会报错,所以我们现在需要密钥secret,到这里没什么提示了,dirsearch扫一下发现了robots.txt,首先想了一下如果做一个脚本一直点击work不就好了吗,但是又想了一下服务器响应太快也不行,如果设置sleep那时间太长了。SECRET不为空所以需要传入一个值,这个预定义字符的作用是将匹配之后的字符进行返回。发现了很长的一段代码,呃呃呃没见过的样子,百度发现是Ruby的语法。发现了里面三段中间用.链接,妥妥的jwt形式,然后换一个思路,burp抓包看了一下,改完之后发现还是不对。
热门Ruby 库中存在严重的命令注入漏洞
smellycat000的专栏
04-11 398
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开发人员修复了用于解析和转换 AsciiDoc 文件的热门 Ruby库中存在一个命令注入漏洞。命令注入漏洞可使攻击者在运行应用程序的服务器上执行任意操作系统命令,一般可导致该应用程序及其所有数据遭完全攻陷。这个Ruby 库是 asciidoctor-include-ext,它是Asciidoctor 库的扩展,可将远程 ...
ruby on rails 的数据库查询方法
Men-DD
03-12 4024
a = Category.new(:name => 'Ruby', :position => 1) a.save # save 还有相同方法”save!” # 有无惊叹号的差别在于validate资料验证不正确的动作, # 无惊叹号版本会回传布林值(true或false),有惊叹号版本则是验证错误会丢出例外。 b = Category.create(:na
Ruby on Rails学习笔记(二 Ruby连接mysql数据库)
陌如烟雨淡如尘的博客
05-03 2173
今天学习了ruby,正在配置mysql环境 在ubuntu中安装mysql环境很简单,只需要以下几条命令: 1. sudo apt-get install mysql-server   2. apt-get isntall mysql-client   3.  sudo apt-get install libmysqlclient-dev 检查mysql安装成功 sudo
[数据库]数据库sql一些操作
深度的博客
01-14 268
计算 Aggregations 数量 SELECT COUNT(*) AS event_count FROM events; 对应的 Rails 语法是 Event.count 最小和最大值 SELECT MIN(capacity) as min_capacity FROM events; SELECT MAX(capacity) as max_capacity FROM events;...
rails 中 不利用 model 来进行动态 sql 运行的几种方法。
一个烂人的随手笔记
04-17 4210
一.  依然利用任意一个model 的 find_by_sql('select 。。。。。') 来执行。
对于sql注入问题产生的原因及解决方法
猫的薛定谔
04-27 2463
突然想到sql注入问题,举例:在某些安全系数不高的登陆网站我们输入特定字符组合就可以进行登陆,其实数据库中是没有这个账号和用户名的,这就是因为sql注入的漏洞 看了篇博客说的很好就转载了,附上连接: https://www.cnblogs.com/baizhanshi/p/6002898.html ...
ruby on rails_了解Ruby on Rails的基础:SQL数据库及其工作方式
cumian9828的博客
07-17 320
ruby on railsAfter learning about Ruby, the first step we took was to understand how the web and the Ruby on Rails request-response cycle work. 了解了Ruby之后 ,我们采取的第一步是了解Web和Ruby on Rails请求-响应周期的工作方式。 No...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值