是否有一种无需准备函数即可使用占位符执行查询的方法?

编程问答 2022-07-25

问题描述

我的代码库有一个潜在的sql注入漏洞,我想对此进行保护。我在代码库中有一些查询,在其中将变量以纯文本形式放置,如下所示:

ActiveRecord::Base.connection.execute(
        %{
          SELECT ...
          FROM ...
          JOIN ...
          WHERE ...
           ... model.foreign_id IN (#{array_of_ids})
          GROUP BY 1;
        }
      )

我之所以这样,是因为由于查询的复杂性,我们无法使用内置的ActiveRecord查询(有些情况我们希望控制)。

我的第一个想法是使用exec_query,但是我发现我不能使用它。我在事务模式下使用pgbouncer,因此prepare_statements必须保持关闭状态。有没有不用准备函数就可以用占位符执行查询方法吗?

解决方法

您可以使用ActiveRecord清理方法

ActiveRecord::Base.sanitize_sql(['? IN ?','foreign_key',[1,';true=true']])

=> "'model_name.foreign_key' IN 1,';true=true'"

https://github.com/rails/rails/blame/8642c564dab37366c2ca8950b428d1aec84eb10d/activerecord/lib/active_record/sanitization.rb https://github.com/rails/rails/commit/9d43a84f73c1b3853a91d052a462ee60eccaf957

activerecordactiverecordpgbouncerpostgresqlruby-on-railssecuritysecurity

相关问答

Selenium Web驱动程序和Java元素在(x,y)点处不可单击其他元素将获得点击?
Selenium Web驱动程序和Java。元素在(x,y)点处不可单击。其...
Python-如何使用点“” 访问字典成员?
Python-如何使用点“。” 访问字典成员?
Java 字符串是不可变的到底是什么意思?
Java 字符串是不可变的。到底是什么意思?
Java中的“ final”关键字如何工作?我仍然可以修改对象
Java中的“ final”关键字如何工作?(我仍然可以修改对象。...
“loop:”在Java代码中这是什么,为什么要编译?
“loop:”在Java代码中。这是什么,为什么要编译?
java.lang.ClassNotFoundException:sun.jdbc.odbc.JdbcOdbcDriver发生异常为什么?
java.lang.ClassNotFoundException:sun.jdbc.odbc.JdbcOdbc...