나는 지금이 글을 여러가지 SO 스레드, 가이드 등에서 읽었지만 모든 대답은 상충되고 모순적이다.레일 5 SQL 인젝션
많은 유사한 방법이있는 것 같고 많은 답변이 다른 것을 사용한다고합니다.
sanitize
sanitize_conditions
sanitize_sql
sanitize_sql_array
sanitize_sql_for_assignment
sanitize_sql_for_conditions
sanitize_sql_hash
sanitize_sql_hash_for_conditions
sanitize_sql_like
나는 나를 원시 포스트 그레스 쿼리를 실행할 수있는 '원시 쿼리'어댑터를 작성하려고하지만, 저 위험 사용자 입력에서 온 내 자신의 매개 변수를 삽입 할 수 있도록하고있다.
나는 복잡한 위도/경도 계산, 집계 함수, 복잡한 서브 쿼리 등지금까지 내가 시도이 접근하고 있어요 때문에 나는이 몇몇 경우에 AR을 사용할 수 없습니다
:
을 이 경우 100 %에서 작동이 방법에 대한 방법 1
, 나는
(나는 포스트 그레스 만 사용하고 있습니다) ...sanitize
위의 최선의 방법입니다 알고, 또는하지 않습니다
class RawQuery
def exec(prepared, *params)
prepared = query.dup
params.flatten.each_with_index do |p, i|
prepared.gsub!("$#{i + 1}", ActiveRecord::Base.sanitize(p))
end
ActiveRecord::Base.connection.exec_query(prepared)
end
end
사소한 사용 예 (일반적으로이 과정이 간단하지 않을 것이다, 또는 그냥 AR을 사용) :
RawQuery.new.exec('SELECT * FROM users WHERE name = $1', params[:name])
quote
에 그
sanitize
대표를 보인다. 하지만
this SO post에 따르면 작은 따옴표로 묶는 것만으로는 안전하지 않으므로 ... 전혀 모른다.
방법은 2
나는이만큼 안전한지 모르겠지만, 실제 PG (나는 100 % 안전합니다 가정) 함수를 준비 사용하는 것 같다. 유일한 문제는 레일스가 콘솔에 출력하지 않으며 SQL 실행 시간 (프로파일 링 도구가 손상됨)을 포함하지 않는다는 것입니다.
RawQuery.new.prepare('SELECT * FROM users WHERE name = $1', params[:name])
하나의 방법 더 다른 이상 안전 :
class RawQuery
def prepare(query, *params)
name = "raw_query_#{SecureRandom.uuid.gsub('-', '')}"
connection = ActiveRecord::Base.connection.raw_connection
connection.prepare(name, query)
connection.exec_prepared(name, params)
end
end
같은 방법을 사용? 둘 다 100 % 안전합니까?
내 응용 프로그램은 항상 Rails가 SQL을 사용할 수있는 범위를 훨씬 벗어나 확장 할 수 있으며, 내가 알고있는 모든 프로젝트에 포함 할 수있는 좋은 lib가 필요합니다.
나는 본다 - 그것은 의미가있다. 그렇다면'sanitize'와'sanitize_sql_for_conditions'의 주요 차이점은 무엇입니까? 원래의 질문에 포함하는 것을 잊어 버린 또 다른 부분은'method sanitize_sql_for_conditions'에 대한 문서는 ** WHERE ** 절 *에 대해 유효한 SQL 부분으로 위생 처리합니다. 'sanitize'에 대한 문서들은 SQL ** SELECT ** 문에서 사용되기 전에 객체를 위생 처리하는 데 사용됩니다. 이는 상황에 따라 다르다는 것을 의미합니까? SQL 문에서 아무 곳에서나 사용할 수있는 방법은 무엇입니까? (SELECT, WHERE, GROUP BY 등). 아니면 위치에 관계없이'sanitize'를 사용할 수 있습니까? – Tallboy
'sanitize_ *'메소드가 모두 보호되어있는 것처럼 보입니다. 그래서 당신이 사용하려고 생각하지 않습니다. 나는 항상'quote'가 이런 종류의 일에 사용되는 주요 공개 방법이라고 이해해 왔습니다. 실제로 간단한'sanitize' 메쏘드는'quote'를 호출합니다 (여러분이 말한 것처럼). 코드를 살펴보면 Railsy 데이터 구조 (예 :'{name : "foo", email : "[email protected]"}')와'quote' 사이의 브리징을위한 다른'sanitize_ * . 그들은 각각의 값에 대해'quote'를 호출합니다. '* for_conditions'와'* for_assignment'는 주로','와'AND'를 사용하는 것처럼 보입니다. –
도움 주셔서 감사합니다! 좋은 대답. – Tallboy