rails防SQL注入

最新推荐文章于 2024-07-06 08:56:46 发布
最新推荐文章于 2024-07-06 08:56:46 发布
阅读量1.4k 收藏
点赞数
分类专栏: ruby 文章标签: Ruby on Rails ruby MySQL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010258505/article/details/11573237
版权

除非你做到网站完全静态化,否则,有用户输入的地方就有SQL注入的可能,我们应该注意到这些潜在的危险

在 防SQL注入方面,ruby和php相比要逊色一些,php提供了多个过滤函数,直接调用即可,但ruby需要自己去写正则;

当然,rails在与数据库交互时,参数化查询方面做得很到位,举例如下:

一:

        错误写法:Department.find :first,:conditions=>["id = message.department_id"]

        正确写法:Department.find :first,:conditions=>["id = ?", message.department_id]

二:

        错误写法:

                content = params[:content]
                sql_content = "content like content "

                sql_fdate = "and date(created_at) >= '#{date}'"
                sql_tdate = "and date(created_at) <= '#{date}'"

                Suggestion.paginate :all,:conditions=>[" #{sql_content} #{sql_fdate} #{sql_tdate}],:page=> params[:page], :per_page=> Per_Page,:order => "id DESC"

         正确的写法:

        content = params[:content]
                sql_content = "content like ? "

                sql_fdate = "and date(created_at) >= '#{date}'"
                sql_tdate = "and date(created_at) <= '#{date}'"

                Suggestion.paginate :all,:conditions=>[" #{sql_content} #{sql_fdate} #{sql_tdate} ","%#{content}%"],:page=> params[:page], :per_page=> Per_Page,:order => "id DESC"



北漂故事
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RailsCasts中文版,#25 SQL Injection 谨SQL注入
边晓宇@CSDN
06-04 4129
接下来的几篇,我们会讨论一些关于安全的话题,以免你的站点频频遭受黑客的攻击。其中第一个基本安全原则就是永远不要信赖来自用户的输入。在Rails中来讲就是说,从页面参数中传递进来的数据一定要小心对待。用户可以有意的设置参数值,甚至可以设置参数键,所以得谨慎的使用。这个原则对于cookie数据也同样适用。而会话数据中的内容是由我们的程序控制的,可以放心使用。 所有安全问题中,SQL注入是最最臭名昭著
rails SQL注入式攻击
cheng716051的博客
08-26 73
[size=x-large][color=green] SQL注入式攻击 SQL 代码注入攻击是最常见的一种攻击WEB应用程序的方法。 这种攻击的结果是让你的数据库被破坏或者完全暴露。最好的范SQL代码注入的方式是过滤掉所有输入的信息。 并且对最后的结果进行转义输出。 解决方法: 使用Active Record 提供的变量绑定功能对查询语句进行“消毒”,这些邦...
Ruby on Rails如何SQL注入
edison702的专栏
11-05 987
代码: sort_by = "email" # really params[:sort_by] sort_direction = "asc" # really params[:sort_direction] User.order("#{sort_by} #{sort_direction}") # SELECT "users".* FROM "users" ORDER BY email
SQL注入的方法(转载)
weixin_30776545的博客
08-29 83
(1)对于动态构造SQL查询的场合,可以使用下面的技术:第一:替换单引号,即把所有单独出现的单引号改成两个单引号,止攻击者修改SQL命令的含义。再来看前面的例子,“SELECT * from Users WHERE login = ''' or ''1''=''1' AND password = ''' or ''1''=''1'”显然会得到与“SELECT * from Users WHERE...
Rails 3爆SQL注入漏洞
06-05 111
Ruby on Rails近日爆出了一个关键的漏洞,该漏洞允许攻击者在数据库服务器上执行SQL命令,比如,攻击者可以发起SQL注入攻击来读取未经授权的机密信息。目前该漏洞已修复,可通过文章最后的链接下载修复版本。 ...
pp_sql:Rails ActiveRecord SQL查询日志美化器
01-30
Rails 4.2+(可选),将自动注入 遗产 您可以将此版本的~> 0.2与Ruby 2.2、2.3和/或Rails 4.0、4.1一起使用 用法 Post.first.to_sql 为了方便,干净地使用自定义字符串,您可以使用内置优化功能: using PpSql::...
inject-some-sql:将SQL注入Ruby on Rails应用程序中很有趣!
02-01
重置数据库使用SQL注入很容易使数据库混乱。 服务器确实会在每次查询后尝试重置数据库,但这并不是万无一失的。 要完全重置: rake db:drop db:migrate db:seed注入SQL! 该站点列出了一堆ActiveRecord查询。 每个...
SQL注入
07-17
许多现代Web框架(如Django、Ruby on Rails、Spring Boot等)内置了SQL注入的安全机制。使用这些框架时,确保遵循最佳实践,开启安全选项,如自动转义用户输入,使用框架提供的ORM或预编译语句。 四、持续监控...
享受将SQL注入RubyonRails应用程序的乐趣吧!___下载.zip
04-18
Ruby on Rails(RoR)...通过了解和应用这些实践,开发者可以在开发Ruby on Rails应用时有效SQL注入,保障应用程序的安全性。同时,保持对最新安全动态的关注,及时更新依赖和修复漏洞,也是确保应用安全的关键。
rails常用数据库查询操作、方法浅析
01-21
1、获取数据 获取第一条、最后一条记录 代码如下: Model.first Model.first(options) Model.find(:first, options) Model.last Model.last(options) Model.find(:last, options) 通过id获取记录 ...
5种方法止 jsp被sql注入
收集盒 Book box
09-22 6449
一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编程时的疏忽,通过SQL语句,实现无帐号登录,甚至篡改数据库。 ===========================================
一种很厉害的SQL注入攻击
云上的日子
08-30 1810
explain select * from user where mail= 'IF(SUBSTR(@@version,1,1) 以上SQL适应性,攻击性都非常强, 简单有效!
SQL注入以及SQL注入的方法
weixin_43206190的博客
02-27 4864
一、SQL注入简介 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 二、SQL注入攻击的思路 找到SQL注入的位置 判断服务器类型和后台数据库类型 针对不同服务器和数据库的特点进行SQL注入攻击 三、SQL注入实例 一个要求输入用户名和密码的登陆界面 后台程序进行验证的SQL语句如下: select * from user_tab...
Rails宝典之第二十五式: Sql injection
hideto
07-31 95
Sql injection是老问题,对如下查询: [code] def index @tasks = Task.find(:all, :conditions => "name LIKE '%#{params[:query]}%'") end [/code] 当用户输入的query条件加上单引号时很容易通过sql injection来攻击我们的Rails程序 而我们使用如下查询方式...
Rails使用SQL语句查询
chongju9866的博客
03-15 383
##方法一:find_by_sql 返回对象数组 Article.find_by_sql("select * from articles join categories on articles.category_id=categories.id where articles.id=2") ...
rails 使用自定义SQL
产品人生
09-21 712
rails 使用自定义SQL# 更新用户信息 User.connection.execute("UPDATE users SET age = '#{self.age}',address = '#{self.address}' WHERE name = '张三' ")
过滤SQL关键字,SQL注入
热门推荐
打酱油的男神
06-20 1万+
定义一个方法进行关键字的过滤,方法中使用正则表达式过滤:///&lt;summary&gt; /// 过滤字符串中注入SQL脚本的方法 ///&lt;/summary&gt; ///&lt;param name="source"&gt;传入的字符串&lt;/param&gt; ///&lt;returns&gt;过滤后的字符串&lt;..
手动安装Ruby 1.9.3并升级RubyGems
最新发布
Shinobi_Jack的博客
07-06 169
手动安装Ruby 1.9.3并升级RubyGems。###Ruby 1.9.3 p125安装。###Readline支持。###升级RubyGems。###Openssl支持。
centos安装打包工具fpm
纵歌的博客
07-03 881
centos安装打包工具fpm
rails, angular, postgres, and bootstrap
10-23
Angular具有丰富的功能,如数据绑定、组件化和依赖注入,使开发人员可以更轻松地构建复杂的前端应用程序。 PostgreSQL是一种开源的关系型数据库管理系统(RDBMS),它具有强大的性能和可扩展性。PostgreSQL支持SQL...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值