簡體 English 中英

使用Javascript查詢生成器時防止Rails中的SQL注入

[英]Preventing SQL Injection in Rails while using Javascript Query Builder

原文 2016-03-20 11:33:51 6 1 javascript/ jquery/ ruby-on-rails/ query-builder

我想將jQuery查詢生成器用作多用戶應用程序中的工具： http : //mistic100.github.io/jQuery-QueryBuilder/

我知道，如果安裝不正確，使用這種工具可能會帶來很大的SQL注入風險。

我知道防止SQL注入的傳統方法（即，對WHERE語句進行硬編碼，而不是直接在其中插入用戶輸入的字符串），但是在這種情況下，鑒於我們正在嘗試的動態和靈活性，這將變得有些困難保持東西。

我想知道是否有使用這種查詢生成器之類的方法來設置安全過程的簡便方法。 主要關注的是一個用戶能夠訪問和/或修改另一個用戶的記錄（我不太擔心他們會打亂他們自己的記錄，但是他們都在同一個數據庫中）。

我的一個想法是查找並替換所有有問題的單詞（例如DROP等），但是我知道這會限制用戶輸入（即如果他們想搜索與“他丟下球”匹配的記錄）。 ..也可能不是萬無一失的。

除了必須使用某種復雜的算法進行編碼以生成SQL代碼服務器端之外，還有其他可行的方法嗎？

1 個解決方案

通常，您應該只在索引的GET請求上接受真正的“過濾”參數。 即使這樣，您也不想隨意地將所有參數都放入WHERE子句中。

如果要讓用戶創建復雜的條件，則可以創建一個簡單的解析器，該解析器接受用戶輸入並通過Arel構建SQL語句。

或者，您可能想使用現有的引擎進行全文搜索，例如Lucene。

使用JavaScript / jQuery防止SQL注入

[英]Preventing SQL injection using JavaScript/jQuery

防止JavaScript注入

[英]Preventing JavaScript Injection

防止JavaScript注入（不確定是否為js注入）

[英]Preventing Javascript Injection(not sure if it is js injection)

防止JavaScript內嵌網址注入

[英]Preventing JavaScript inline url injection

Rails 3 javascript sql 查詢

[英]Rails 3 javascript sql query

使用Javascript時的貓鼬和查詢注入？

[英]Mongoose and Query Injection when using Javascript?

防止SQL注入Node.js

[英]Preventing SQL injection in Node.js

防止 Javascript 中的客戶端潛在代碼注入

[英]Preventing Client Potential Code Injection in Javascript

在查詢生成器Jquery中獲取SQL規則時，“ IN”運算符無法正常工作

[英]'IN' operator is not working correctly while getting SQL rule in Query Builder Jquery

在ActionScript（Flash Builder）中調試JavaScript注入

[英]Debug JavaScript injection in ActionScript (Flash Builder)

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 使用JavaScript / jQuery防止SQL注入防止JavaScript注入防止JavaScript注入（不確定是否為js注入）防止JavaScript內嵌網址注入 Rails 3 javascript sql 查詢使用Javascript時的貓鼬和查詢注入？防止SQL注入Node.js 防止 Javascript 中的客戶端潛在代碼注入在查詢生成器Jquery中獲取SQL規則時，“ IN”運算符無法正常工作在ActionScript（Flash Builder）中調試JavaScript注入

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM