10
私はORDERBYがデフォルトで消毒取得する場合、私は思っていたとされていない場合、何がそれをサニタイズするための最良の方法だろうなActiveRecordの.orderメソッドのパラメータは、デフォルトで消されていますか?
Item.order(orderBy)
として、.ORDERメソッドに文字列を渡すためにしようとしています。
A
答えて
14
注文は消毒されません。あなたはorderByは、ユーザの入力から汚染される可能性のある方法がある場合は、クエリを実行する前にorderBy変数をチェックしたいと思う
Post.order("title; drop table users;")
:このクエリは、実際にユーザーのテーブルをドロップします。このような何かは仕事ができる:
items = Item.scoped
if Item.column_names.include?(orderBy)
items = items.order(orderBy)
end
+0
ありがとう、ディラン! – andreimarinescu
2
は、私は、次のようなものを使用する:エンティティモデルクラスをある
@scoped = @scoped.order Entity.send(:sanitize_sql, "#{@c} #{@d}")
。これらは?と.where句と同じようにサニタイズされていないが、あなたは#sanitize_sql_for_orderを使用することができます
3
:
sanitize_sql_for_order(["field(id, ?)", [1,3,2]])
# => "field(id, 1,3,2)"
sanitize_sql_for_order("id ASC")
# => "id ASC"
+0
ありがとうございます。これはおそらくこれを行うための最良の方法です。しかし、私はこのActiveRecordメソッドが3年前に利用可能であったかどうかはわかりません:) – andreimarinescu
+0
これは、実際にはオーダーパートを浄化するのにほとんど役に立ちません。 'sanitize_sql_for_order(" id; drop table somethings ")のようなものが予期せず動作し、最悪の場合はテーブルを削除します:/ – nathanvda
+0
ソースを確認してください:https://github.com/rails/rails/blob/d15527800fbc199b969019c665226f836d8fedce/activerecord/lib/ active_record/sanitization.rb#L64の場合、単一の文字列の場合は_nothing_ :( – nathanvda
関連する問題
- 1. メソッドから消えているパラメータ
- 2. マルチセットでMySQLの「ORDER BY」が区別されていますか?
- 3. 動的に定義されたメソッドのデフォルトのパラメータ
- 4. C#でメソッドのパラメータ配列のデフォルト値
- 5. IndyのTIdCompressorZLib.CompressStreamメソッドのパラメータはどこに文書化されていますか?
- 6. 特定のActiveRecordパラメータでメソッドを実行するにはどうすればよいですか?
- 7. パラメータ化されたクエリが提供されていませんでしたデフォルトとメソッド
- 8. デフォルトのActiveRecord/ActiveModel ::エラーは匿名です
- 9. C#メソッドはデフォルトで封印されているか仮想ですか?
- 10. ActiveRecordのデフォルトのインデックス
- 11. センチネルオブジェクトでデフォルトのパラメータを持つSphinxのpythonメソッドでドキュメント化しますか?
- 12. パラメータが0の "OnMouseDown"メソッドがオーバーロードされていません
- 13. OperationContractに記載されていないメソッドを消費する
- 14. Swiftデフォルトのパラメータはキャッシュされた値を使用します
- 15. ステップカウンターはバックグラウンドでデフォルトで実行されていますか?
- 16. RailsがActiveRecordクエリにORDER BYを追加するのはなぜですか?
- 17. ActiveRecordでメソッドによって注文されたすべての行を検索
- 18. ネストされたオブジェクトのデフォルトのパラメータ
- 19. sql resultset orderが定義されていますか?
- 20. Pythonのデフォルトのパラメータは、C++で定義された関数ですか?
- 21. SSRSレポートのパラメータのデフォルトのNULL値が適用されていません
- 22. activerecord-2.3.14 rubyで1.9.2 ::定義されていないメソッド "reject" for "4":文字列
- 23. Shopify Order APIのいくつかのメソッドにアクセスできない
- 24. メソッドの属性はC#で継承されていますか?
- 25. Javaアノテーションのデフォルト値はバイトコードにコンパイルされていますか?
- 26. voltdbのデフォルト手順はパーティション化されていますか?
- 27. PHPの子クラスは、オーバーライドされたメソッドのパラメータを変更できますか?
- 28. FlashはMac OSにデフォルトでインストールされていますか?
- 29. メソッドのパラメータに適用される汎用タイプ - タイプ消去を避ける
- 30. どのセグメントレジスタがデフォルトで使用されていますか?
あなたは、文字列値の例を与えることができますか? 'Item.order("? "、orderBy)'は消毒すべきだと思っていますが、文字列の内容によってはより良い方法があるかもしれません。 – catsby
@ctshryockこれは 'select * by items by order? orderBy' –
@DylanMarkow私は '.order(" created_at>? "、orderBy)'などと思っていましたが、おそらく 'where'(少なくとも' order'ではなく)には良いでしょうか? – catsby