1. Accueil
  2. Question et réponse
  3. Rails injection SQL?

Rails injection SQL?

2010-06-02 3 views
29

Dans Rails, quand je veux trouver par une valeur donnée d'utilisateur et d'éviter l'injection SQL (échapper Apostrophes et similaires) que je peux faire quelque chose comme ceci:Rails injection SQL?

Post.all(:conditions => ['title = ?', params[:title]])

Je sais que d'une façon non sécuritaire de le faire (possible injection SQL) est la suivante:

Post.all(:conditions => "title = #{params[:title]}")

Ma question est, ne la méthode suivante empêche l'injection SQL ou non?

Post.all(:conditions => {:title => params[:title]})

Source

2010-06-02 Yuval Karmi

Répondre

37

Oui, c'est le cas. Seul le second est dangereux.

Source

2010-06-02 23:10:12 fphilipe

+0

Nous vous remercions de votre réponse directe. –

5

+1 @fphilipe et @yuval Cochez cette case vidéo 5 min de railscast et celui-ci de rails guide

Source

2010-06-02 23:12:49

+0

Merci, j'ai déjà vu ça mais ça ne couvre pas ma question (concernant la dernière trouvaille) –

Questions connexes

 Questions connexes