Như đã thấy trong comment_controller.rb:phòng chống sql injection cho tạo phương pháp trong đường ray khiển
def create
@comment = Comment.new(params[:comment])
@comment.save
end
Im giả định rằng đây là SQL injection-an toàn. Nhưng cách làm đúng là gì? .. Tất cả các ví dụ về giao dịch ròng với phát hiện.
Mã đó là an toàn khỏi các cuộc tấn công SQL injection. Việc thoát được thực hiện bởi ActiveRecord, vì vậy bất cứ khi nào bạn gọi một mô hình là find, create, new/save hoặc bất kỳ phương pháp nào khác tương tác với cơ sở dữ liệu, bạn đều OK. Ngoại lệ duy nhất là nếu bạn sử dụng SQL liệu cho một trong các tùy chọn, ví dụ:
Comment.find(:all, :conditions => "user_id = #{params[:user_id]}")
hình thức ưa thích là:
Comment.find(:all, :conditions => {:user_id => params[:user_id]})
sẽ được tự động bảo vệ chống lại SQL injection.
Lưu ý rằng ví dụ mã của bạn được an toàn khỏi SQL injection như được giải thích bởi Alex, nhưng nó không an toàn từ mass assignment exploits.
Điểm tốt - không chắc tại sao điều này chưa xảy ra với tôi trước đây – DanSingerman