1
빌드는 SQL 인젝션으로부터 보호합니까?레일 : 빌드 방법으로 SQL 인젝션을 방지 할 수 있습니까?
예 :
@post = @user.posts.build(params[:post])
@post.save
레일 보안 문서에 구축 보지 않았다.
감사합니다.
A
답변
2
build 자체는 데이터베이스에 아무 것도 쓰지 않으므로 SQL 주입이 적용되지 않습니다. save을 호출 할 때 개체가 build을 통해 만들었거나 new에 특성을 전달하거나 개별 attribute= 메서드를 사용하는 것과 같은 다른 메커니즘을 통해 개체가 생성되었는지 여부는 중요하지 않으며 개체를 데이터베이스에 저장하는 데 동일한 코드가 사용됩니다. documentation on build에서
:
조인 테이블을 통해이 객체 에 속성을 인스턴스화와 연결되어 있습니다 컬렉션 유형의 새 오브젝트를 돌려줍니다 만, 아직 저장되지 않았습니다.
save 방법은 결과 insert 또는 create 쿼리는 SQL 주입에 감염되지 않도록 당신이 (예를 들어, MySQL을)를 사용하는 데이터베이스에 적절한 방법을 사용하여 속성 값의 모든 따옴표 등 탈출합니다. update_attributes 및 find으로 전달되는 매개 변수화 된 :conditions에도 동일하게 적용됩니다. 조심해야 할 때와 수동 이스케이프를해야하는 경우는 리터럴 문자열을 쿼리로 데이터베이스 연결에 전달하는 경우입니다.
관련 문제
- 1. SQL 인젝션을 탐지하기위한 RegEx
- 2. SQL 인젝션을 통해 MySQL에 파일을 쓸 수 있습니까?
- 3. SSI 인젝션이나 LDAP 인젝션을 웹 로그에 기록 할 수 있습니까?
- 4. SQL 데이터베이스 수준에서 일괄 업데이트를 방지 할 수 있습니까?
- 5. 정렬 열에 CFSWITCH를 사용하면 SQL 주입을 방지 할 수 있습니까?
- 6. 이 PDO 코드는 SQL 인젝션을 어떻게 보호합니까?
- 7. LINQ-To-SQL은 SQL 인젝션을 어떻게 방지합니까?
- 8. SQL 인젝션/굿 루비 방지 방법
- 9. 멋있는 방법으로 가치를 매칭 할 수 있습니까?
- 10. 다른 방법으로 애니메이션을 할 수 있습니까?
- 11. 빠른 방법으로 어떻게 수행 할 수 있습니까?
- 12. 올바른 방법으로 라디오 버튼을 할 수 있습니까?
- 13. 어떤 방법으로 sharepoint에 액세스 할 수 있습니까?
- 14. SQL 인젝션 방지
- 15. PDO에서 긴 쿼리를 방지 할 수 있습니까?
- 16. Access에서 레코드 삭제를 방지 할 수 있습니까?
- 17. WPF에서 창 최대화를 방지 할 수 있습니까?
- 18. 데이터베이스에서 Java가 '비어 있는지'를 일반적인 방법으로 감지 할 수 있습니까?
- 19. 우아한 방법으로 컨트롤러에서 collection_select를 처리 할 수 있습니까?
- 20. Xcode에서 빌드 후 아카이브 할 수 있습니까?
- 21. 어떻게이 빌드 단계를 동봉 할 수 있습니까?
- 22. Jenkins가 Eclipse 프로젝트를 빌드 할 수 있습니까?
- 23. 어떻게하면 모달보기에서 UITableViewGrouped를 빌드 할 수 있습니까?
- 24. TFS2010 빌드 에이전트가 SSIS 패키지를 빌드 할 수 있습니까?
- 25. 호출 할 때 가비지 수집을 방지 할 수 있습니까?
- 26. Xcode가 별도의 창에 빌드 오류를 나열하는 것을 방지 할 수 있습니까?
- 27. Ibatis에서 SQL 주입 방지
- 28. 레일 : 최종 사용자가보기를 편집 할 수 있습니까?
- 29. 레일 모델에서 대상을 관찰 할 수 있습니까?
- 30. 중복 SQL 항목 방지
복제본 : http://stackoverflow.com/questions/2144778/sql-injection-prevention-for-create-method-in-rails-controller – dombesz
이것은 중복되지 않습니다. 빌드'. 또한 중복 가능성은 답변보다는 질문에 대한 의견으로 게시해야합니다. – mikej