如何在Rails 4中清理原始SQL

Posted 2021-04-02

在Rails 3中，我可以使用sanitize_sql_array来清理那些需要原始SQL查询的偶然时刻的原始SQL。但是这似乎已经在Rails 4中删除了，或者没有那么多删除，但转移到ActiveRecord :: Sanitization。但是，我现在无法弄清楚如何调用sanitize_sql_array，那么在Rails 4中清理原始SQL的最佳方法是什么？

我想澄清一下，我在这里讨论完整的原始SQL查询，而不是使用Rail的模型。我知道这不是最佳实践，这正是我必须为此特定查询所做的事情，因为它无法用Rails的漂亮的ActiveRecord接口来表示（相信我，我已经尝试过了）。

这是一个示例调用，它明显比我的查询实际上看起来更简单：

query = "SELECT * FROM users 
LEFT OUTER JOIN posts ON users.id=posts.user_id
AND posts.topic_id = '#{topic.id}'" 
# ^- Obviously bad and very vulnerable, this is what we're trying to fix
ActiveRecord::Base.connection.select_all(query)

答案

如果你真的需要编写原始SQL，你可以使用quote来清理它：

conn = ActiveRecord::Base.connection
name = conn.quote("John O'Neil")
title = conn.quote(nil)
query = "INSERT INTO users (name,title) VALUES (#{name}, #{title})"
conn.execute(query)

另一答案

从Active Record docs中，清理SQL查询的最佳方法是避免将自己的条件构建为纯字符串，换句话说，将参数直接插入查询中，如下所示：

User.find_by("user_name = '#{user_name}' AND password = '#{password}'")

而是使用数组或散列条件。

数组条件：

Client.where("orders_count = ? AND locked = ?", params[:orders], false)

哈希条件：

Client.where(is_active: true)

一个澄清的例子：

class User < ActiveRecord::Base
  # UNSAFE - susceptible to SQL-injection attacks
  def self.authenticate_unsafely(user_name, password)
    where("user_name = '#{user_name}' AND password = '#{password}'").first
  end

  # SAFE
  def self.authenticate_safely(user_name, password)
    where("user_name = ? AND password = ?", user_name, password).first
  end

  # SAFE
  def self.authenticate_safely_simply(user_name, password)
    where(user_name: user_name, password: password).first
  end
end

以下是一些参考：

• http://api.rubyonrails.org/classes/ActiveRecord/Base.html#method-c-sanitize_sql_array
• http://guides.rubyonrails.org/active_record_querying.html

另一答案

引用方法和其他ActiveRecord::Base清理方法已被弃用，并且从未成为公共API的一部分。

https://github.com/rails/rails/issues/28947

官方的消毒方法是

http://api.rubyonrails.org/classes/ActiveRecord/Sanitization/ClassMethods.html