Iniezione SQL delle rotaie?

In Rails, quando voglio trovare da un dato valore di utente ed evitare SQL injection (fuga apostrofi e simili) che posso fare qualcosa di simile:Iniezione SQL delle rotaie?

Post.all(:conditions => ['title = ?', params[:title]])

So che un modo non sicuro di fare questo (possibile SQL injection) è questo:

Post.all(:conditions => "title = #{params[:title]}")

la mia domanda è, fa il seguente metodo prevenire SQL injection o no?

Post.all(:conditions => {:title => params[:title]})

fonte

2010-06-02 Yuval Karmi

Sì, lo fa. Solo il secondo è pericoloso.

fonte

2010-06-02 23:10:12 fphilipe

Grazie per la vostra risposta diretta. –

+1 @fphilipe e @yuval Selezionare questa 5 min video da railscast e questo da rails guide

fonte

2010-06-02 23:12:49

Grazie, l'ho già visto ma non copre la mia domanda (pertinente all'ultima ricerca) –

Uno good reference dalle guide RoR.

fonte

2010-06-02 23:13:25 edthix

Grazie, questo è rilevante. –

Iniezione SQL delle rotaie?

risposta

Problemi correlati