레일 5 SQL 인젝션

Question

나는 지금이 글을 여러가지 SO 스레드, 가이드 등에서 읽었지만 모든 대답은 상충되고 모순적이다.

많은 유사한 방법이있는 것 같고 많은 답변이 다른 것을 사용한다고합니다.

• sanitize
• sanitize_conditions
• sanitize_sql
• sanitize_sql_array
• sanitize_sql_for_assignment
• sanitize_sql_for_conditions
• sanitize_sql_hash
• sanitize_sql_hash_for_conditions
• sanitize_sql_like

나는 나를 원시 포스트 그레스 쿼리를 실행할 수있는 '원시 쿼리'어댑터를 작성하려고하지만, 저 위험 사용자 입력에서 온 내 자신의 매개 변수를 삽입 할 수 있도록하고있다.

나는 복잡한 위도/경도 계산, 집계 함수, 복잡한 서브 쿼리 등

지금까지 내가 시도이 접근하고 있어요 때문에 나는이 몇몇 경우에 AR을 사용할 수 없습니다

:

을 이 경우 100 %에서 작동이 방법에 대한 방법 1

, 나는

(나는 포스트 그레스 만 사용하고 있습니다) ... sanitize 위의 최선의 방법입니다 알고, 또는하지 않습니다

class RawQuery 

    def exec(prepared, *params) 
    prepared = query.dup 
    params.flatten.each_with_index do |p, i| 
     prepared.gsub!("$#{i + 1}", ActiveRecord::Base.sanitize(p)) 
    end 
    ActiveRecord::Base.connection.exec_query(prepared) 
    end 

end 

사소한 사용 예 (일반적으로이 과정이 간단하지 않을 것이다, 또는 그냥 AR을 사용) :

RawQuery.new.exec('SELECT * FROM users WHERE name = $1', params[:name])

은 또한 그것은 quote에 그 sanitize 대표를 보인다. 하지만 this SO post에 따르면 작은 따옴표로 묶는 것만으로는 안전하지 않으므로 ... 전혀 모른다.

방법은 2

나는이만큼 안전한지 모르겠지만, 실제 PG (나는 100 % 안전합니다 가정) 함수를 준비 사용하는 것 같다. 유일한 문제는 레일스가 콘솔에 출력하지 않으며 SQL 실행 시간 (프로파일 링 도구가 손상됨)을 포함하지 않는다는 것입니다.

RawQuery.new.prepare('SELECT * FROM users WHERE name = $1', params[:name])

---

하나의 방법 더 다른 이상 안전 :

class RawQuery 

    def prepare(query, *params) 
    name = "raw_query_#{SecureRandom.uuid.gsub('-', '')}" 
    connection = ActiveRecord::Base.connection.raw_connection 
    connection.prepare(name, query) 
    connection.exec_prepared(name, params) 
    end 

end 

같은 방법을 사용? 둘 다 100 % 안전합니까?

내 응용 프로그램은 항상 Rails가 SQL을 사용할 수있는 범위를 훨씬 벗어나 확장 할 수 있으며, 내가 알고있는 모든 프로젝트에 포함 할 수있는 좋은 lib가 필요합니다.

Answer 1

quote을 사용하는 것이 안전합니다. 나는 the page you linked to에 대한 답변을 읽고, 누구도 quote이 안전하지 않다는 것을 알지 못합니다. "따옴표"사용에 관한 질문을 봅니다. 당신은 그냥 문자열 주위에 따옴표를 넣어 경우 예, 즉 예를 들어, 안전하지 :

q = "SELECT * FROM users where email = '#{params[:email]}'" 

그러나 quote (방법)을 사용하여 괜찮 :

이

q = "SELECT * FROM users where email = #{connection.quote(params[:email])}" 

콘솔에 놀러와 시도 할 수 최선을 깰,하지만 난 당신이 할 수 있습니다 생각하지 않는다 : 당신이 성공하면

2.3.3 :003 > ActiveRecord::Base.connection.quote("f''oo")                    
=> "'f''''oo'" 

, 나는 확신 레일 팀 (개인적으로) 알고 싶습니다! 그러나 알 수 있듯이 quote 메서드는 시작과 끝 부분에 따옴표를 붙이는 것 이상의 작업을 수행합니다.

https://github.com/rails/rails/blob/2471e6391dfe71cfbb8621bdf573729d961d3209/activerecord/lib/active_record/connection_adapters/abstract/quoting.rb#L6-L13

# Quotes the column value to help prevent 
# {SQL injection attacks}[http://en.wikipedia.org/wiki/SQL_injection]. 
def quote(value) 

https://github.com/rails/rails/blob/0f1d0b1b5254e3678abaabbebb3362a100c10262/activerecord/lib/active_record/connection_adapters/postgresql/quoting.rb#L17-L20 : 당신은 당신이 권위있는 인용 찾고있는 말 때문에 또한

는 소스 코드의 주석 자체가 사용자 입력을 인용하는 것은 이러한 기능의 의도 된 목적은 제안

# Quotes strings for use in SQL input. 
def quote_string(s) #:nodoc: 

(메모에는 quote_string이 표시되어 있습니다. 시도 자체 quote는 데이터 유형을 파악하고 적절한 무언가를)

을 그건 그렇고, 여기에 당신과 비슷한 질문이 2014 년 나에서 답이다, 너무 몇 가지 대안 :. How to execute a raw update sql with dynamic binding in rails