构建是否可以防止 sql 注入?
例子:
@post = @user.posts.build(params[:post])
@post.save
在 rails 安全文档中没有看到 build。
谢谢!
【问题讨论】:
build。此外,可能的重复项可能应作为问题而不是答案的 cmets 发布。
标签: sql ruby-on-rails
build 本身不会向数据库写入任何内容,因此不适用 SQL 注入。当您调用save 时,无论对象是通过build 还是通过其他机制(例如将属性传递给new 或使用单独的attribute= 方法)创建的,都将使用相同的代码来保存您的对象到数据库。
返回集合的一个新对象 已实例化的类型 属性并链接到该对象 通过连接表,但还没有 尚未保存。
save 方法将使用适合您正在使用的数据库(例如 MySQL)的方法转义属性值中的任何引号等,以便生成的 insert 或 create 查询不易受到 SQL 注入的影响.这同样适用于update_attributes 和您传递给find 的任何参数化:conditions。如果您曾经将文字字符串作为查询传递给数据库连接,那么您需要小心并且可能需要进行一些手动转义的时间。
【讨论】: