ActiveRecord的“更”方法是否容易受到SQL注入的攻击?
我知道在调用时使用插值字符串是不安全的.where。
例如:
Client.where("orders_count = #{params[:orders]}")
应该改写为:
Client.where("orders_count = ?", params[:orders])
调用时使用插值字符串是否安全.order?如果不是,应如何改写以下内容?
Client.order("#{some_value_1}, #{some_value_2}")
问题答案:
是的,ActiveRecord的是鈥涣刻申鈥方法 是 容易受到SQL注入。
不,这 不是 安全打电话时使用插值的字符串.order。
上述问题的答案已经由亚伦·帕特森(Aaron
Patterson)
确认,他将我指向http://rails-
sqli.org/#order
。在该页面上:
在ORDER
BY子句中利用SQL注入是很棘手的,但是CASE语句可用于测试其他字段,将sort列切换为true或false。尽管可能需要执行许多查询,但攻击者可以确定该字段的值。
因此,重要的是手动检查一切order安全的东西。也许通过使用类似于@dmcnally的建议的方法。
谢谢大家
-
我有这样一个类,它扩展了一个实现CustomTaskChange的类。由于一些类属性(如列名和类型)是通过XML文件传递给它的,所以我需要进行字符串级联。我确实使用PreparedStatement,但我想知道我是否仍然因为它而容易受到SQL注入的攻击,如果是这样的话,我该如何使它安全呢?XML是一个Liquibase变更集(我将在下面留下一个示例)。
-
考虑以下陈述: 以上内容被认为是安全的,不会受到SQL注入攻击。知道id属于int类型,下面的也安全吗? 如果没有,会出现什么问题?
-
我的Java应用程序使用kerberos对Windows Active Directory KDC进行身份验证,它使用RC4-HMAC进行krb5配置文件中的、、。 通过将RC4-HMAC替换为es128-cts-hmac-sha1-96,应用程序给出了以下状态代码14的KrbException。 消息:KDC不支持加密类型javax.security.auth.login。FailedLogin
-
问题内容: 我为客户开发了一个网站,他们将在网上发布商品图片。网址为。有人尝试浏览通知我的产品和错误。 我还收到以下错误报告: 最后三个例子肯定是有人试图进入系统的,对吧? 如果我们将其转换为存储过程,是否会减少或消除插入攻击的风险? 问题答案: 例子:
-
本文向大家介绍Yii框架防止sql注入,xss攻击与csrf攻击的方法,包括了Yii框架防止sql注入,xss攻击与csrf攻击的方法的使用技巧和注意事项,需要的朋友参考一下 本文实例讲述了Yii框架防止sql注入,xss攻击与csrf攻击的方法。分享给大家供大家参考,具体如下: PHP中常用到的方法有: 调用: (必须放在接收数据之外) 注意: 表单提交值,为防止csrf攻击,控制器中需要加上:
-
本文向大家介绍什么是SQL注入式攻击?相关面试题,主要包含被问及什么是SQL注入式攻击?时的应答技巧和注意事项,需要的朋友参考一下 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL