Я знаю, что небезопасно использовать интерполированные строки при вызове .where.
например. это:
Client.where("orders_count = #{params[:orders]}")
следует переписать как:
Client.where("orders_count = ?", params[:orders])
Можно ли использовать интерполированные строки при вызове .order? Если нет, как следует переписать следующее:
Client.order("#{some_value_1}, #{some_value_2}")
Да, метод "Order" ActiveRecord уязвим для SQL-инъекции.
Нет, небезопасно использовать интерполированные строки при вызове .order.
Вышеуказанные ответы на мой вопрос были подтверждены Аарон Паттерсон, который указал мне на http://rails-sqli.org/#order. С этой страницы:
Использование SQL-инъекций в предложениях ORDER BY является сложным, но Оператор CASE может использоваться для проверки других полей, переключения сортировки столбец для true или false. Хотя это может занять много запросов, злоумышленник может определять значение поля.
Поэтому важно вручную проверить, что все, что происходит в order, безопасно; возможно, используя методы, похожие на @dmcnally предложения.
Спасибо всем.
Короткий ответ: вам нужно санировать ваши входы.
Если строки, которые вы планируете интерполировать, поступают из ненадежного источника (например, веб-браузера), вам необходимо сначала сопоставить их с доверенными значениями. Вы можете сделать это через хэш:
# Mappings from known values to SQL
order_mappings = {
'first_name_asc' => 'first_name ASC',
'first_name_desc' => 'first_name DESC',
'last_name_asc' => 'last_name ASC',
'last_name_desc' => 'last_name DESC',
}
# Ordering options passed in as an array from some source:
order_options = ['last_name_asc', 'first_name_asc']
# Map them to the correct SQL:
order = order_options.map{|o| order_mappings[o] }.compact.join(', ')
Client.order(order)
Попробуй это!
# app/models/concern/ext_active_record.rb
module ExtActiveRecord
extend ActiveSupport::Concern
included do
scope :sortable, -> (params) do
return unless params[:sort_by] && params[:sort_dir]
reorder("#{params[:sort_by]}" => "#{params[:sort_dir]}")
end
end
end
# app/models/user.rb
class User < ActiveRecord::Base
include ExtActiveRecord
# ....
end
# app/controllers/user_controller.rb
class UserController < ApplicationController
def index
@users = User.sortable(params).page(params[:page]).per(params[:per])
end
end
Client.order("#{some_value_1}, #{some_value_2}")
следует записать как
order = sanitize_sql_array(['%s, %s', some_value_1, some_value_2])
Client.order(order)