Tag: 清理

在自定义条件下清理SQL

我需要创建一个简单的搜索，但我不能使用Sphinx。 这是我写的： keywords = input.split(/\s+/) queries = [] keywords.each do |keyword| queries << sanitize_sql_for_conditions( "(classifications.species LIKE '%#{keyword}%' OR classifications.family LIKE '%#{keyword}%' OR classifications.trivial_names LIKE '%#{keyword}%' OR place LIKE '%#{keyword}%')") end options[:conditions] = queries.join(' AND ') 现在，sanitize_sql_for_conditions不起作用！ 它返回只返回原始字符串。 如何重写此代码以逃避恶意代码？

是否可以安全消毒？

我正在使用富文本编辑器（CKEditor），我有机会让用户创建显示给其他用户的配置文件。 当我将它们显示为以下时，CKEditor可以控制的许多属性都会丢失： 我的问题是：允许解析属性’style’是否安全？ 这将允许显示诸如文本颜色，大小，背景颜色，居中，缩进等的事物。 我只是想确保它不允许黑客访问我不知道的东西！