Rails, come disinfettare SQL in find_by_sql

Question

C'è un modo per disinfettare il metodo sql in rails find_by_sql?

ho provato questa soluzione: Ruby on Rails: How to sanitize a string for SQL when not using find?

ma non riesce a

Model.execute_sql("Update users set active = 0 where id = 2") 

Si genera un errore, ma viene eseguito il codice SQL e l'utente con ID 2 ora ha un account disabilitato.

semplice find_by_sql anche non funziona:

Model.find_by_sql("UPDATE user set active = 0 where id = 1") 
# => code executed, user with id 1 have now ban 

Edit:

Beh il mio cliente chiesto di fare quella funzione (selezionare da SQL) nel pannello di amministrazione per fare qualche query complessa (unisce, condizioni speciali ecc.). Quindi voglio davvero trovarlo.

Secondo Edit:

voglio ottenere che non sarà eseguito il codice SQL 'male'.

Nel pannello di amministrazione è possibile digitare query ->Update users set admin = true where id = 232 e si desidera bloccare qualsiasi comando SQL UPDATE/DROP/ALTER. Voglio solo sapere, che qui puoi SOLO eseguire SELECT.

Dopo alcuni tentativi concludo lo sanitize_sql_array sfortunatamente non lo faccio.

C'è un modo per farlo in Rails ??

Ci scusiamo per la confusione ..

Answer 1

Prova questa:

connect = ActiveRecord::Base.connection(); 
connect.execute(ActiveRecord::Base.send(:sanitize_sql_array, "your string")) 

è possibile salvarlo in variabile e utilizzare per i vostri scopi.

Answer 2

Ho creato un piccolo frammento per questo che è possibile inserire negli inizializzatori.

class ActiveRecord::Base 
    def self.escape_sql(array) 
    self.send(:sanitize_sql_array, array) 
    end 
end 

In questo momento si può sfuggire la query con questo:

query = User.escape_sql(["Update users set active = ? where id = ?", true, params[:id]]) 

E si può chiamare la query come più ti piace:

users = User.find_by_sql(query) 

Answer 3

Leggermente più general-purpose:

class ActiveRecord::Base 
    def self.escape_sql(clause, *rest) 
    self.send(:sanitize_sql_array, rest.empty? ? clause : ([clause] + rest)) 
    end 
end 

Questo ti consente di chiamalo come se dovessi digitare una clausola where, senza parentesi e usare uno stile array? o interpolazioni stile hash.

Answer 4

Sebbene questo esempio sia per la query INSERT, è possibile utilizzare un approccio simile per le query UPDATE.Raw inserimento di massa SQL:

users_places = [] 
users_values = [] 
timestamp = Time.now.strftime('%Y-%m-%d %H:%M:%S') 
params[:users].each do |user| 
    users_places << "(?,?,?,?)" # Append to array 
    users_values << user[:name] << user[:punch_line] << timestamp << timestamp 
end 

bulk_insert_users_sql_arr = ["INSERT INTO users (name, punch_line, created_at, updated_at) VALUES #{users_places.join(", ")}"] + users_values 
begin 
    sql = ActiveRecord::Base.send(:sanitize_sql_array, bulk_insert_users_sql_arr) 
    ActiveRecord::Base.connection.execute(sql) 
rescue 
    "something went wrong with the bulk insert sql query" 
end 

Ecco l'reference to sanitize_sql_array method in ActiveRecord::Base, genera la stringa di query corretta fuggendo le virgolette singole nelle stringhe. Ad esempio la punch_line "Non lasciarti abbattere" diventerà "Non lasciare che ti buttino giù".

Answer 5

User.find_by_sql ([ "SELECT * FROM utenti WHERE (name =)?", Params]) Trovato in http://blog.endpoint.com/2012/10/dont-sleep-on-rails-3-sql-injection.html