rails 安全问题

rails 防止SQL注入

 

Rails中防止SQL注入是非常简单的,但是还是要注意代码的编写习惯。
例如:
order.find(:all, :conditions=>"name='#{name}'")
在conditions里面使用#()是非常不好的做法,这样传入数据库的sql语句不会经过任何的安全过滤。

正确的方法应该是使用占位符:
order.find(:all, :conditions=>["name = ? and pay_type = ?", name, type])
占位符使用起来比#()方便很多,你还可以这样:
order.find(:all, :conditions=>["name = :name and pay_type = :pay_type", {:name=>name, :pay_type=>pay_type}])

甚至可以:
order.find(:all, :conditions=>["name = :name and pay_type = :pay_type", params])
因为params本身就是一个HASH,只要里面有name和pay_type的参数就会直接传递进来。

你可能感兴趣的:(sql,Rails)