ActiveRecord用戶提供的列名
[英]ActiveRecord user-supplied column name
問題描述
我試圖允許Rails應用程序的最終用戶根據任意列的值來限制結果。 最簡單地說,我想做一些大致相當於:
"SELECT * FROM products WHERE (#{params[:min_col]} >= #{params[:min]})"
沒有注入漏洞。
例如, example.com/myapp/catalog?min_col=sell_price&min=300 myapp / catalog?min_col = sell_price&min = 300將返回所有Sell_price大於或等於$ 3.00的產品
我嘗試將以下范圍添加到模型:
->(column,min) { where("? >= ?", column, min) }
並將uri參數傳遞到該范圍,但這會產生
WHERE ('sell_price' >= '300')
這似乎只是在比較兩個文字字符串-此查詢和其他類似的字符串始終返回每一行或不返回任何行。 如何獲得與params指定的列進行比較的期望行為?
1 個解決方案
解決方案1
5 已采納 2014-06-10 23:12:17
為防止sql注入,您應驗證該列是否為有效列
valid_cols = ["c1", "c2"]
valid_cols.include?(column) or raise "Bad query"
然后您可以像以前一樣使用查詢界面
Model.where("#{column} >= ?", min)
ActiveSupport :: CoreExtensions :: String :: Inflections.constantize可以安全地與用戶提供的數據一起使用嗎?
[英]Is ActiveSupport::CoreExtensions::String::Inflections.constantize safe to use with user-supplied data?
Rails Active Storage:如何創建由用戶提供的坐標裁剪的“命名變體”
[英]Rails Active Storage: How to create "named variants" that are cropped by user-supplied coordinates
在@ user.name中,ActiveRecord如何確定name是數據庫列還是類的方法
[英]In @user.name, how does ActiveRecord determines whether name is a database column or a method of the class
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
在Web服務器上執行用戶提供的ruby代碼
ActiveSupport :: CoreExtensions :: String :: Inflections.constantize可以安全地與用戶提供的數據一起使用嗎?
使用const_get清理/清理用戶提供的內容
Rails Active Storage:如何創建由用戶提供的坐標裁剪的“命名變體”
通過活動記錄中的“名稱”獲取列
在@ user.name中,ActiveRecord如何確定name是數據庫列還是類的方法
將列名稱作為變量傳遞給ActiveRecord查詢
在.joins上使用Rails Activerecord模棱兩可的列名
ActiveRecord中的默認inheritance_column名稱
Rails ActiveRecord查詢模棱兩可的列名錯誤
相關標簽