跟踪活动记录的细微差别并防止注入攻击

发布于 2024-08-08 22:26:29 字数 287 浏览 6 评论 0原文

当我进行查询时...

使用 find_by 助手与不使用 find_by 助手之间有什么有意义的区别吗?

在做这样的事情时,我是否忽略了选择较短的代码行的任何原因?

Booking.find_all_by_user_id(1, :joins => :confirmation)

Booking.find(:all, :joins => :confirmation, :conditions => [ 'bookings.user_id = ?', 1] )

When I make a query...

is there any meaningful difference between using a find_by helper or not?

Are there any reasons I'm overlooking for opting for shorter lines of code when doing things like this?

Booking.find_all_by_user_id(1, :joins => :confirmation)

Booking.find(:all, :joins => :confirmation, :conditions => [ 'bookings.user_id = ?', 1] )

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(2

留蓝 2024-08-15 22:26:29

不,关于注入攻击。
find_by 方法应该是安全的。然而,唯一的致命错误是在使用 find 方法时直接在 conditions 参数中使用用户输入,例如:

Booking.find(:all, :joins => :confirmation, :conditions => [ 'bookings.user_id = #{params[user_id]]}'] )

当然正确的方法是您这样做的方式,并且 < code>find 方法将过滤内容。

Booking.find(:all, :joins => :confirmation, :conditions => [ 'bookings.user_id = ?', params[user_id]] )

No, regarding injection attacks.
The find_by method should be safe. However the only killer mistake is to use user input directly inside your conditions param when using find method, like doing:

Booking.find(:all, :joins => :confirmation, :conditions => [ 'bookings.user_id = #{params[user_id]]}'] )

Of course the right one is the way you did it and find method will filter things up.

Booking.find(:all, :joins => :confirmation, :conditions => [ 'bookings.user_id = ?', params[user_id]] )
~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文