mysql - 通过ruby脚本防止SQL注入(inject)-6ren

mysql - 通过ruby脚本防止SQL注入(inject)

转载作者：行者123 更新时间：2023-11-29 08:56:48

26

4

我创建了以下 ruby 脚本，该脚本登录到 mysql 数据库并根据用户输入的用户名和密码返回订单信息。我的问题是如何防止 sql 注入(inject)？我知道它目前的编写方式很容易受到攻击，但我对 ruby 很陌生，不知道如何防止这种情况发生。

 #!/usr/bin/ruby

 #Import mysql module
  require "mysql"

  begin

   #Establish connection to mysql database as the operator user.
   connection = Mysql.real_connect("localhost", "operator", "", "rainforest")
   #Allow Multi line statements
   connection.set_server_option(Mysql::OPTION_MULTI_STATEMENTS_ON)

   #Prompt user for username
   puts "Please Enter Your Customer Username:"
   #Get username entered and store to variable
   username = gets.chomp  

   #Prompt user for password
   puts "Please Enter Your Customer Password"
   #Get password entered and store to variable
   password = gets.chomp

   #Specify SQL query that returns order if user entered data matches data held in customer table
   customerQuery = connection.query("SELECT O.order_ID, O.date_ordered, C.customer_name, P.product_name
   FROM orders As O
   INNER JOIN customer As C ON O.customer_ID=C.customer_ID
   INNER JOIN product As P ON O.product_ID=P.product_ID
   WHERE C.customer_name = '" + name + "' AND C.customer_password = '" + password + "'")

   #If query returns a row then user has entered correct login details
   if customerQuery.num_rows > 0 then

   #tell user they have successfully logged in
   puts "User Successfully Authenticated: Hello " + username + ". Here are your orders:     \n**********"

   #Print all row data containing users order details to screen
   while row = customerQuery.fetch_row do

    puts row
    puts "**********"       
   end
   else
   #if no rows return, user has entered incorrect details, inform them of this by printing to screen
   puts "User Authentication Unsuccessful:Incorrect Username or Password, Please Try     Again" 
   end
   #close connection to database
   connection.close
   end

最佳答案

使用准备好的语句而不是字符串连接/插值:

p = connection.prepare(%q{
    select o.order_id, o.date_ordered, c.customer_name, p.product_name
    from orders as o
    join customer as c on o.customer_id = c.customer_id
    join product  as p on o.product_id  = p.product_id
    where c.customer_name     = ?
      and c.customer_password = ?
})
customerQuery = p.execute(name, password)
if customerQuery.num_rows > 0
    customerQuery.each do |row|
        #...
    end
else
    #...
end

如果出于某种奇怪的原因您绝对必须使用字符串插值，那么请使用connection.quote:

customerQuery = connection.query(%Q{
    select o.order_id, o.date_ordered, c.customer_name, p.product_name
    from orders as o
    join customer as c on o.customer_id = c.customer_id
    join product  as p on o.product_id  = p.product_id
    where c.customer_name     = '#{connection.quote(name)}'
      and c.customer_password = '#{connection.quote(password)}'
})

但实际上，除非别无选择，否则不要这样做。在这种情况下，您不必为此使用字符串操作。

关于mysql - 通过ruby脚本防止SQL注入(inject)，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/9764739/

26

4

0

文章推荐： bash - 你在ctrl+u中代表什么？

文章推荐： java - 正则表达式 - 字符串匹配错误输出

文章推荐： bash 排序异常顺序。空间问题？

文章推荐： java - 如何检索与测试集关联的测试用例

sql - SQL、PL-SQL 和 T-SQL 之间有什么区别？
SQL、PL-SQL 和 T-SQL 之间有什么区别？谁能解释一下这三者之间的区别，并提供每一个的相关使用场景？最佳答案 SQL 是一种对集合进行操作的查询语言。它或多或少是标准化的，几乎所有关
sql - T-SQL、SQL Server 和 SQL 有什么区别
这个问题已经有答案了: What is the difference between SQL, PL-SQL and T-SQL? (6 个回答) 已关闭 9 年前。我对 SQL 的了解足以完成我的
sql - Linq To Sql - SQL 默认约束问题
我在数据库中有一个 USER 表。该表有一个 RegistrationDate 列，该列有一个默认约束为 GETDATE()。使用 LINQ 时，我没有为 RegistrationDate 列提供任
sql - 在字符串中查找第二组数字(SQL/PL-SQL)
我有一个可能属于以下类型的字符串 string expected result 15-th-rp 15 15/12-rp 12 15-12-th
sql - 服务器端 sql 与客户端 sql
很难说出这里问的是什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或言辞激烈，无法以目前的形式合理回答。如需帮助澄清此问题以便可以重新打开，visit the help center . 9年前关闭
sql - sql 如何计算 sql 存储过程中的附加表？
我有一个存储过程(称为 sprocGetArticles)，它从文章表中返回文章列表。这个存储过程没有任何参数。用户可以对每篇文章发表评论，我将这些评论存储在由文章 ID 链接的评论表中。有什么方
sql - 嵌入式 SQL 与动态 SQL
我目前正在做一个 *cough*Oracle*cough* 数据库主题。讲师介绍embedded SQL作为让其他语言(例如 C、C++)与(Oracle)数据库交互的方式。我自己做了一些数据库工作
sql - SQL Server SQL 语句可以有多少个字符？
SQL Server 中 SQL 语句的最大长度是多少？这个长度是否取决于 SQL Server 的版本？例如，在 DECLARE @SQLStatement NVARCHAR(MAX) = N'S
sql-server - SQL 行到列 sql
这个问题已经有答案了: Simple way to transpose columns and rows in SQL? (9 个回答) 已关闭 8 年前。 CallType
sql - SQL Server SQL 语句中的动态日期
预先感谢您对此提供的任何帮助。假设我有一个查询，可以比较跨年的数据，从某个任意年份开始，永无止境(进入 future )，每年同一时期直到最后一个完整的月份(其特点是一月数据永远不会显示至 2 月
sql - Linq To Sql - SQL 默认约束问题
我在数据库中有一个 USER 表。该表有一个 RegistrationDate 列，该列的默认约束为 GETDATE()。使用 LINQ 时，我没有为 RegistrationDate 列提供任何数
sql - (SQL Server) SQL 不允许在检查过程是否存在后创建过程
下面是我试图用来检查存储过程是否不存在然后创建过程的 sql。它会抛出一个错误:Incorrect syntax near the keyword 'PROCEDURE' IF NOT EXISTS
sql - 动态 SQL 是否比 SQL Server 中的静态 SQL 性能更高？
我有一个同事声称动态 SQL 在许多情况下比静态 SQL 执行得更快，所以我经常看到 DSQL 到处都是。除了明显的缺点，比如在运行之前无法检测到错误并且更难阅读，这是否准确？当我问他为什么一直使用
sql - exec sp_executesql @sql 和 exec (@sql) SQL Server
来自 lobodava 的动态 SQL 查询是: declare @sql nvarchar(4000) = N';with cteColumnts (ORDINAL_POSITION, CO
sql - 动态 SQL - EXEC(@SQL) 与 EXEC SP_EXECUTESQL(@SQL)
使用 SQL Server 中的存储过程执行动态 SQL 命令的现实优点和缺点是什么 EXEC (@SQL) 对比 EXEC SP_EXECUTESQL @SQL ？最佳答案 sp_executes
c# - SQL > Linq to Sql，SQL 查询有效，Linq to SQL 返回空数据集
我有这个有效的 SQL 查询: select sum(dbos.Points) as Points, dboseasons.Year from dbo.StatLines dbos i
sql-server - "> sql.txt && sql -h-1 -i sql.txt && del sql.txt"命令是什么意思？
我正在调试一些构建成功运行的 SQL 命令的代码。然而，在查询结束时，查询结果似乎被写入了一个文本文件。完整的查询如下 echo SELECT DATE,DATETABLE,DATE,APPDAT
sql - 如何从 MS SQL 数据库(Microsoft SQL Server)中的其他 .sql 文件运行 .sql 文件？
我有一些创建表的 .sql 文件(MS SQL 数据库): 表_1.sql: IF OBJECT_ID (N'my_schema.table1', N'U') IS NOT NULL DROP TAB
sql - 如何在查询中使用 SQL 变量(SQL Server)？
我写了下面的 SQL 存储过程，它一直给我错误@pid = SELECT MAX(... 整个过程是: Alter PROCEDURE insert_partyco @pname varchar(20
sql - 如何将两个列表转换为邻接矩阵 SQL Server T-SQL？
我在 SQL Server 2005 中有包含两列 Fruit 和 Color 的表，如下所示 Fruit Colour Apple Red Orange

首页

博学

6Ren·AI

商城

mysql - 通过ruby脚本防止SQL注入(inject)