rails 安全问题

rails 防止SQL注入

 

Rails中防止SQL注入是非常简单的，但是还是要注意代码的编写习惯。
例如：
order.find(:all, :conditions=>"name='#{name}'")
在conditions里面使用#()是非常不好的做法，这样传入数据库的sql语句不会经过任何的安全过滤。

正确的方法应该是使用占位符：
order.find(:all, :conditions=>["name = ? and pay_type = ?", name, type])
占位符使用起来比#()方便很多，你还可以这样：
order.find(:all, :conditions=>["name = :name and pay_type = :pay_type", {:name=>name, :pay_type=>pay_type}])

甚至可以：
order.find(:all, :conditions=>["name = :name and pay_type = :pay_type", params])
因为params本身就是一个HASH，只要里面有name和pay_type的参数就会直接传递进来。