以下代码片段是不是容易受到 Rails 5 中 SQL 注入的影响？

Posted 2023-02-15

【中文标题】以下代码片段是不是容易受到 Rails 5 中 SQL 注入的影响？

【英文标题】：Is the following code snippet vulnerable to SQL injection in Rails 5?以下代码片段是否容易受到 Rails 5 中 SQL 注入的影响？

【发布时间】：2022-01-13 23:29:16

【问题描述】：

如果未对 order 参数进行清理，以下代码 sn-p 是否容易受到 Rails 5 中的 SQL 注入的影响？我尝试使用https://rails-sqli.org/rails5 中提供的示例对其进行测试，但引发了 ActiveRecord::UnknownAttributeReference 异常。这是否意味着代码对 SQLi 是安全的？

@exports = Export.for_public.order(params[:order] || 'created_at DESC').page(params[:page])

【问题讨论】：

这能回答你的问题吗？ Are the .order method parameters in ActiveRecord sanitized by default?

@razvans，我认为这个medium.com/@mitsun.chieh/… 实际上回答得更好。不过感谢您的贡献。

【参考方案1】：

在这里https://medium.com/@mitsun.chieh/activerecord-relation-with-raw-sql-argument-returns-a-warning-exception-raising-8999f1b9898a找到我的问题的答案。