ActiveRecord中的.Order方法参数是否默认经过清理? [英] Are the .order method parameters in ActiveRecord sanitized by default?
本文介绍了ActiveRecord中的.Order方法参数是否默认经过清理?的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我正在尝试将一个字符串传递给.Order方法,例如
Item.order(orderBy)
我想知道默认情况下是否会清理orderBy,如果不是,清理它的最佳方法是什么。
推荐答案
订单未经过清理。此查询实际上将删除USERS表:
Post.order("title; drop table users;")
您将希望在运行查询之前检查orderBy
变量,以确定是否有任何方法可以从用户输入中污染orderBy
。类似这样的事情可能会奏效:
items = Item.scoped
if Item.column_names.include?(orderBy)
items = items.order(orderBy)
end
这篇关于ActiveRecord中的.Order方法参数是否默认经过清理?的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文