Wie in comment_controller.rb gesehen:sql Injektionsverhinderung für create-Methode in Schienen-Controller
def create
@comment = Comment.new(params[:comment])
@comment.save
end
Im vorausgesetzt, dass diese SQL-Injektion nicht sicher ist. Aber was ist der richtige Weg? .. Alle Beispiele im Netz befassen sich mit Funden.
Dieser Code ist sicher vor SQL-Injection-Angriffen. Das Escapen wird von ActiveRecord ausgeführt. Wenn Sie also die find, create, /save oder eine andere Methode aufrufen, die Datenbankinteraktionen durchführt, sind Sie in Ordnung. Die einzige Ausnahme ist, wenn Sie sich für eine der Optionen rohe SQL verwenden, zum Beispiel:
Comment.find(:all, :conditions => "user_id = #{params[:user_id]}")
die bevorzugte Form ist:
Comment.find(:all, :conditions => {:user_id => params[:user_id]})
, die automatisch vor SQL-Injection geschützt werden.
Beachten Sie, dass Ihr Codebeispiel, wie von Alex erläutert, vor der SQL-Injektion sicher ist, aber nicht sicher von mass assignment exploits.
Sehr guter Punkt - nicht sicher, warum mir das vorher nicht eingefallen ist – DanSingerman