Ruby on Rails如何防止SQL注入。

最新推荐文章于 2022-07-13 10:12:59 发布
最新推荐文章于 2022-07-13 10:12:59 发布
阅读量992 收藏
点赞数
分类专栏: RubyOnRails
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/edison702/article/details/8148074
版权
代码: 
sort_by = "email" # really params[:sort_by]


sort_direction = "asc" # really params[:sort_direction]


User.order("#{sort_by} #{sort_direction}")

# SELECT "users".* FROM "users" ORDER BY email asc



如果 查询的是
sort_by = "email; DELETE from users; --"


User.order("#{sort_by} #{sort_direction}")

# SELECT "users".* FROM "users" ORDER BY email; DELETE from users; -- asc



把user全都删除了,   order.find(:all, :conditions=>"name='#{name}'")



在conditions里面使用#()是非常不好的做法,这样传入数据库的sql语句不会经过任何的安全过滤。



解决方案: 1. Ryan Bates' method:

def index
  

  @users = User.order(sort_by + " " + direction)

end





private
  def sort_by
    

  %w{email name}.include?(params[:sort_by]) ? params[:sort_by] : 'name'
  

end

  



def direction


  %w{asc desc}.include?(params[:direction]) ? params[:direction] : 'asc'
  

end



这样把判断后的结果传回去。 如果不知道sort的列名, 也可以用User.column_names 来代替 %w{email name}



2. 使用Active Record 提供的变量绑定功能对查询语句进行“消毒”,这些邦定的变量会成为你的SQL 语句的一部分。 考虑下面的方法, 他以 id 作为参数查询你的 记录。
参考: http://sunfengcheng.iteye.com/blog/232636



3. 使用占位符

参考: http://blog.waynedeng.com/?p=145

edison702
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
railsSQL注入
u010258505的专栏
09-11 1428
除非你做到网站完全静态化,否则,有用户输入的地方就有SQL注入的可能,我们应该注意到这些潜在的危险 在 防SQL注入方面,ruby和php相比要逊色一些,php提供了多个过滤函数,直接调用即可,但ruby需要自己去写正则; 当然,rails在与数据库交互时,参数化查询方面做得很到位,举例如下: 一:         错误写法:Department.find :first,:condit
rails 防止SQL注入式攻击
cheng716051的博客
08-26 74
[size=x-large][color=green] 防止SQL注入式攻击 SQL 代码注入攻击是最常见的一种攻击WEB应用程序的方法。 这种攻击的结果是让你的数据库被破坏或者完全暴露。最好的防范SQL代码注入的方式是过滤掉所有输入的信息。 并且对最后的结果进行转义输出。 解决方法: 使用Active Record 提供的变量绑定功能对查询语句进行“消毒”,这些邦...
CVE-2017-17405(Ruby Net::FTP 模块命令注入漏洞)复现
kriesa的博客
07-13 1193
CVE-2017-17405复现
热门Ruby 库中存在严重的命令注入漏洞
smellycat000的专栏
04-11 362
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士开发人员修复了用于解析和转换 AsciiDoc 文件的热门 Ruby库中存在一个命令注入漏洞。命令注入漏洞可使攻击者在运行应用程序的服务器上执行任意操作系统命令,一般可导致该应用程序及其所有数据遭完全攻陷。这个Ruby 库是 asciidoctor-include-ext,它是Asciidoctor 库的扩展,可将远程 ...
RailsCasts中文版,#25 SQL Injection 谨防SQL注入
边晓宇@CSDN
06-04 4135
接下来的几篇,我们会讨论一些关于安全的话题,以免你的站点频频遭受黑客的攻击。其中第一个基本安全原则就是永远不要信赖来自用户的输入。在Rails中来讲就是说,从页面参数中传递进来的数据一定要小心对待。用户可以有意的设置参数值,甚至可以设置参数键,所以得谨慎的使用。这个原则对于cookie数据也同样适用。而会话数据中的内容是由我们的程序控制的,可以放心使用。 所有安全问题中,SQL注入是最最臭名昭著
inject-some-sql:将SQL注入Ruby on Rails应用程序中很有趣!
02-01
重置数据库使用SQL注入很容易使数据库混乱。 服务器确实会在每次查询后尝试重置数据库,但这并不是万无一失的。 要完全重置: rake db:drop db:migrate db:seed注入SQL! 该站点列出了一堆ActiveRecord查询。 每个...
Ruby on Rails Guides v2 - Ruby on Rails 4.2.5
11-30
- **措施**:Rails提供了多种内置的安全特性,如防止跨站脚本攻击(XSS)、SQL注入等。 #### 十、下一步 - **学习路径**:继续深入学习Rails的高级特性,如Active Record模式、表单构建器等。 - **社区资源**:加入...
基于Ruby On Rails的洗衣系统
02-05
- **安全**:防止SQL注入、XSS攻击,使用Rails的安全特性如Strong Parameters、CSRF保护等。 - **部署**:将应用部署到服务器,如Heroku或AWS,使用Capistrano自动化部署。 - **性能优化**:考虑缓存策略,如Rails...
ruby on rails 3 tutorial.pdf
11-29
此外,本书还会介绍Rails的安全实践,包括防止SQL注入、XSS攻击等常见Web安全问题。你将学习如何使用strong parameters、CSRF令牌以及正确设置cookies策略来保护你的应用。 最后,你会了解到如何部署你的Rails应用...
ruby on rails
08-03
此外,你还将接触到一些高级主题,比如如何利用Rails的缓存系统提高应用性能,以及如何处理安全问题,如防止SQL注入和XSS攻击。 在实际开发中,Rails提供了许多强大的库和插件,如Devise用于身份验证,CanCanCan...
5种方法防止 jsp被sql注入
收集盒 Book box
09-22 6491
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
Rails 3爆SQL注入漏洞
06-05 112
Ruby on Rails近日爆出了一个关键的漏洞,该漏洞允许攻击者在数据库服务器上执行SQL命令,比如,攻击者可以发起SQL注入攻击来读取未经授权的机密信息。目前该漏洞已修复,可通过文章最后的链接下载修复版本。 ...
过滤SQL关键字,防止SQL注入
热门推荐
打酱油的男神
06-20 1万+
定义一个方法进行关键字的过滤,方法中使用正则表达式过滤:///<summary> /// 过滤字符串中注入SQL脚本的方法 ///</summary> ///<param name="source">传入的字符串</param> ///<returns>过滤后的字符串<..
连接到SQL Server
编程工作室
02-22 2743
在本教程中,您将学习如何使用SQL Server Management Studio连接到SQL Server并执行查询。 1. 使用SSMS连接到SQL Server 要使用Microsoft SQL Server Management Studio连接到SQL Server,请使用以下步骤: 首先,从“开始”菜单启动Microsoft SQL Server Management Stud...
一个用C#过滤HTML代码的函数
记事本
09-07 794
正好有时间所以用C#写了一段正则表达式,作用是删除 Page 里面Code 中的 HTML标签,这在做采集信息,消除其中的HTML很有用处。 以下是引用片段: public string checkStr(string html)        {          
ruby 数据sql操作
qq_42672332的博客
01-25 573
ActiveRecord ActiveRecord 是Rails 的ORM 元件,负责与资料库沟通,让我们可以用物件导向的语法操作资料库。在”打造CRUD 应用程式”一章中提到的对应概念如下: 将资料库表格(table) 对应到一个类别(classe) 类别方法就是操作表格(table) 将资料库一列(row) 对应到一个物件(object) 物件方法就是操作个别的资料(row) 将资...
SQL中的安全问题
那个谁的空间
05-15 596
SQL中的安全问题 分享到:QQ空间 新浪微博 人人网 腾讯微博 豆瓣 0 一、SQL注入简述 SQL Injection攻击具有很大的危害,攻击者可以利用它读取、修改或者删除数据库内的数据,获取数据库中的用户名和密码等敏感信息,甚至可以 获得数据库管理员的权限。如果能够再利用SQLServer扩展存储过程和自定义扩展存储过程来执行一些系统命令,攻击者还可以获得该系统的控制权。而
Ruby NetFTP 模块命令注入漏洞(CVE-2017-17405)
黑白的博客
12-14 991
声明 好好学习,天天向上 漏洞描述 Ruby Net::FTP 模块是一个FTP客户端,在上传和下载文件的过程中,打开本地文件时使用了open函数。而在ruby中,open函数是借用系统命令来打开文件,且没用过滤shell字符,导致在用户控制文件名的情况下,将可以注入任意命令。 影响范围 Ruby 2.2系列:2.2.8及更早版本 Ruby 2.3系列:2.3.5及更早版本 Ruby 2.4系列:2.4.2及更早版本 Ruby 2.5系列:2.5.0-preview1 在主干修订版r61242之前 复现
plsql被另一个用户锁住的解决办法
小小鱼儿小小林的博客
09-09 5060
今天很不幸,可能由于自己的疏忽,在用plsql的时候用select * from 表名 for update 去修改数据,之后由于接着专心写代码修bug等又做其他事情了,导致可能没有关闭锁,然后关闭了plsql,之后再查修改的数据准备提交的时候,就报错了,提示【记录被另一个用户锁住】,所以这里提醒一下大家,最好不要用for update去修改数据,要用 select A.*,A.rowid fro...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值