ActiveRecord中的.Order方法参数是否默认经过清理？ [英] Are the .order method parameters in ActiveRecord sanitized by default?

查看：14 发布时间：2022/4/4 20:17:03 ruby-on-rails rails-activerecord

本文介绍了ActiveRecord中的.Order方法参数是否默认经过清理？的处理方法，对大家解决问题具有一定的参考价值，需要的朋友们下面随着小编来一起学习吧！

我正在尝试将一个字符串传递给.Order方法，例如

Item.order(orderBy)

我想知道默认情况下是否会清理orderBy，如果不是，清理它的最佳方法是什么。

订单未经过清理。此查询实际上将删除USERS表：

Post.order("title; drop table users;")

您将希望在运行查询之前检查orderBy变量，以确定是否有任何方法可以从用户输入中污染orderBy。类似这样的事情可能会奏效：

items = Item.scoped
if Item.column_names.include?(orderBy)
  items = items.order(orderBy)
end

这篇关于ActiveRecord中的.Order方法参数是否默认经过清理？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！

查看全文