如何在Rails 4中清理原始SQL
在Rails 3中,我可以使用sanitize_sql_array
来清理那些需要原始SQL查询的偶然时刻的原始SQL。 但是这似乎已经在Rails 4中删除了,或者没有那么多删除,而是转移到ActiveRecord :: Sanitization。 但是,我现在无法弄清楚如何调用sanitize_sql_array
,那么在Rails 4中清理原始SQL的最佳方法是什么?
我想澄清一下,我在这里讨论完整的原始SQL查询,而不是使用Rail的模型。 我知道这不是最佳实践,这正是我必须为这个特定查询做的事情,因为它不能用Rails的好的ActiveRecord接口来表示(相信我,我已经尝试过了)。
这是一个示例调用,它明显比我的查询实际上看起来更简单:
query = "SELECT * FROM users LEFT OUTER JOIN posts ON users.id=posts.user_id AND posts.topic_id = '#{topic.id}'" # ^- Obviously bad and very vulnerable, this is what we're trying to fix ActiveRecord::Base.connection.select_all(query)
如果你真的需要编写原始SQL,你可以使用quote
来清理它:
conn = ActiveRecord::Base.connection name = conn.quote("John O'Neil") title = conn.quote(nil) query = "INSERT INTO users (name,title) VALUES (#{name}, #{title})" conn.execute(query)
从Active Record文档中 ,清理SQL查询的最佳方法是避免将自己的条件构建为纯字符串,换句话说,将参数直接插入查询中,如下所示:
User.find_by("user_name = '#{user_name}' AND password = '#{password}'")
而是使用数组或散列条件。
数组条件:
Client.where("orders_count = ? AND locked = ?", params[:orders], false)
哈希条件:
Client.where(is_active: true)
一个澄清的例子:
class User < ActiveRecord::Base # UNSAFE - susceptible to SQL-injection attacks def self.authenticate_unsafely(user_name, password) where("user_name = '#{user_name}' AND password = '#{password}'").first end # SAFE def self.authenticate_safely(user_name, password) where("user_name = ? AND password = ?", user_name, password).first end # SAFE def self.authenticate_safely_simply(user_name, password) where(user_name: user_name, password: password).first end end
以下是一些参考:
引用方法和其他ActiveRecord::Base
清理方法已被弃用,并且从未成为公共API的一部分。
https://github.com/rails/rails/issues/28947
官方的消毒方法是
http://api.rubyonrails.org/classes/ActiveRecord/Sanitization/ClassMethods.html