问题描述
我的代码库有一个潜在的sql注入漏洞,我想对此进行保护。我在代码库中有一些查询,在其中将变量以纯文本形式放置,如下所示:
ActiveRecord::Base.connection.execute(
%{
SELECT ...
FROM ...
JOIN ...
WHERE ...
... model.foreign_id IN (#{array_of_ids})
GROUP BY 1;
}
)
我之所以这样,是因为由于查询的复杂性,我们无法使用内置的ActiveRecord查询(有些情况我们希望控制)。
我的第一个想法是使用exec_query,但是我发现我不能使用它。我在事务模式下使用pgbouncer,因此prepare_statements必须保持关闭状态。有没有不用准备函数就可以用占位符执行查询的方法吗?
解决方法
您可以使用ActiveRecord清理方法
ActiveRecord::Base.sanitize_sql(['? IN ?','foreign_key',[1,';true=true']])
=> "'model_name.foreign_key' IN 1,';true=true'"
https://github.com/rails/rails/blame/8642c564dab37366c2ca8950b428d1aec84eb10d/activerecord/lib/active_record/sanitization.rb https://github.com/rails/rails/commit/9d43a84f73c1b3853a91d052a462ee60eccaf957