rails brakeman命令sql注入
从参数构造订单方法时,如何避免Rails中的制动器警告?
def index @methods = [:name, :manager, :deadline] assignments = Assignment.order(sort_column(@methods) + " " + sort_direction).received(current_user).root end def sort_column(column_names) column_names.each do |column| return column if column == params[:sort] end return 'updated_at' end def sort_direction params[:direction] == 'asc' ? 'asc' : 'desc' end 我正在努力避免将用户生成的代码直接放入查询中,但制动员仍会警告(中等信度)这是一个SQL注入漏洞。
这是假阳性吗? 如果没有,我该如何更正漏洞?
如果是这样,有没有一种简单的方法可以避免误报?
好的,这个评论太长了。
从我的测试中,将字符串构建移动到这样的方法确实会使警告消失:
def index @methods = [:name, :manager, :deadline] assignments = Assignment.order(sort_order).received(current_user).root end def sort_order sort_column(@methods) + " " + sort_direction end
但是,这只是隐藏问题。 我建议在Assignment模型中添加这样的东西:
class Assignment < ActiveRecord::Base def self.sorted_by(column, direction) direction = direction.downcase == 'asc' ? 'asc' : 'desc' column = sanitize_sql(column) order("#{column} #{direction}") end end
请记住,有时您必须在保持工具满意度和保持代码合理性之间做出选择。 至于误报,我没有看到这个特定问题得到解决,因为检查sort_column并且知道它是安全的并不简单。
您可以在order by子句中添加sanitize方法
assignments = Assignment.order(ActiveRecord::Base::sanitize(sort_column(@methods) + " " + sort_direction)).received(current_user).root