gpt4 book ai didi

ruby-on-rails - rails 制动器命令 sql 注入(inject)

转载 作者:行者123 更新时间:2023-12-04 05:57:58 25 4
gpt4 key购买 nike

从参数构造订单方法时,如何避免 Rails 中的刹车警告?

def index
@methods = [:name, :manager, :deadline]
assignments = Assignment.order(sort_column(@methods) + " " + sort_direction).received(current_user).root
end

def sort_column(column_names)
column_names.each do |column|
return column if column == params[:sort]
end
return 'updated_at'
end

def sort_direction
params[:direction] == 'asc' ? 'asc' : 'desc'
end

我正在努力避免将用户生成的代码直接放入查询中,但制动器仍然警告(中等可信度)这是一个 SQL 注入(inject)漏洞。

这是误报吗?如果没有,我该如何纠正这个漏洞?

如果是这样,有没有一种简单的方法可以避免误报?

最佳答案

好的,评论太长了。

根据我的测试,将字符串构建移动到这样的方法中确实会使警告消失:

def index
@methods = [:name, :manager, :deadline]
assignments = Assignment.order(sort_order).received(current_user).root
end

def sort_order
sort_column(@methods) + " " + sort_direction
end

然而,这只是隐藏了问题。我建议在 Assignment 中添加类似的内容改为模型:
class Assignment < ActiveRecord::Base

def self.sorted_by(column, direction)
direction = direction.downcase == 'asc' ? 'asc' : 'desc'
column = sanitize_sql(column)
order("#{column} #{direction}")
end

end

请记住,有时您必须在保持工具满意和保持代码合理之间做出选择。至于误报,我认为这个特定问题没有得到解决,因为检查 sort_column 并不简单。并且知道它是安全的。

关于ruby-on-rails - rails 制动器命令 sql 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13619195/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com