簡體 English 中英

如何防止 SQL 在以下軌道查詢中注入？

[英]How can I prevent SQL injection in following rails query?

原文 2021-04-21 18:35:08 6 1 sql/ ruby-on-rails/ ruby-on-rails-3

數據是以下語句中的參數：

condition = params["id"].present? ? "employers.status = '#{params["id"].upcase}' and employers.task = '#{data.upcase}'" : "employers.task.rdu = '#{data.upcase}'"

1 個解決方案

首先不使用 SQL 字符串。 您可以通過傳遞 hash 來創建WHERE子句：

condition = begin do
  if params[:id].present?
    Employer.where(
       status: params[:id].upcase,
       task: data.upcase
    )
  else
    # I have no idea what you're doing with employers.task.rdu
    Employer.where(
      "task.rdu" => data.upcase
    )
  end
end

如果您絕對覺得需要使用 SQL 字符串，請使用占位符而不是字符串插值：

Employer.where(
  "employers.status = ? and employers.task = ?", params[:id].upcase, data.upcase
)

Employer.where(
  "employers.status = :status and employers.task = :task", 
   status: params[:id].upcase, 
   task: data.upcase
)

這個參數化查詢如何防止 SQL 注入？

[英]How can this Parametrized Query Prevent SQL Injection?

如何防止PHP中的SQL注入？

[英]How can I prevent SQL injection in PHP?

如何防止 SQL 注入？

[英]How can I prevent SQL injection?

如何防止sql注入但保留“和”？

[英]How can i prevent sql injection but keep " and '?

如何在Rails中編寫以下查詢？

[英]How can I write the following query in Rails?

如何在PYTHON-DJANGO中阻止SQL注入？

[英]How can I prevent SQL injection in PYTHON-DJANGO?

如何優化以下SQL查詢

[英]How can I optimize the following SQL query

如何簡化以下SQL查詢？

[英]How can I simplify the following SQL query?

如何防止Visual Basic 2012中的以下代碼上的SQL注入

[英]How to prevent SQL Injection on following code in Visual Basic 2012

如何從 Laravel 中的 SQL 注入保護這個 sql 查詢？

[英]How can I secure this sql query from SQL Injection in Laravel?

暫無

暫無

聲明:本站的技術帖子網頁，遵循CC BY-SA 4.0協議，如果您需要轉載，請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 這個參數化查詢如何防止 SQL 注入？如何防止PHP中的SQL注入？如何防止 SQL 注入？如何防止sql注入但保留“和”？如何在Rails中編寫以下查詢？如何在PYTHON-DJANGO中阻止SQL注入？如何優化以下SQL查詢如何簡化以下SQL查詢？如何防止Visual Basic 2012中的以下代碼上的SQL注入如何從 Laravel 中的 SQL 注入保護這個 sql 查詢？

相關標簽

粵ICP備18138465號 © 2020-2024 STACKOOM.COM