堆棧內存溢出
  簡體   English   中英

Rails字符串注入添加引號

[英]Rails string injection adds quotations marks

 原文  2012-10-03 22:28:23       ruby-on-rails/ ruby/ ruby-on-rails-3

問題描述

我正在嘗試將由get請求給出的字母輸入到尾部3的Like語句中。到目前為止,我具有以下代碼: 

@entries = Entry.where("key LIKE '?%'", params[:letter]).order(:key)

問題是它正在創建錯誤類型的sql查詢,並在注入的字母周圍添加了引號。 它為:letter =>'a'創建以下sql: 

SELECT "entries".* FROM "entries" WHERE (key LIKE ''a'%') ORDER BY key

代替: 

SELECT "entries".* FROM "entries" WHERE (key LIKE 'a%') ORDER BY key

我怎樣才能解決這個問題?

1 個解決方案

解決方案1
 4 已采納  2012-10-03 22:30:10

@entries = Entry.where("key LIKE ?", "#{params[:letter]}%").order(:key)

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 升級到Rails 4.2.0:字符串文字,其中條件包含在引號中 Rails 2數據庫模型返回帶問號的錯誤編碼字符串 如何從Rails 1.2.5中的字符串中刪除html標記 CSV.generate在字符串中添加引號 Rails轉義符用於兩層報價 Rails向查詢添加AND(1 = 0) 滑軌。 使用占位符和字符串時,如何從查詢條件中刪除引號? Rails控制器添加引號 軌中的SQL注入 Rails SQL注入漏洞
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM