Безопасен ли метод заказа ActiveRecord для вставки введенных пользователем строк?

Я хочу сделать что-то подобное в Rails:Безопасен ли метод заказа ActiveRecord для вставки введенных пользователем строк?

People.order("#{params[:sort]}, first_name, middle_name, last_name")

Является ли это безопасно? Или мне нужно разобрать params[:sort] и убедиться, что это список допустимых столбцов заранее? Я не против получения ошибки базы данных, но у меня не может быть возможности SQL-инъекции.

источник

2013-04-16 at.

заказ не является безопасным по умолчанию

См:

источник

2013-04-16 18:30:48 house9

Я хотел запятая SEPA список атрибутов, но это отвечает на мой вопрос. благодаря –

Вы можете сделать это:

if People.attribute_names.include?(params[:sort].to_s) 
    People.order("#{params[:sort]}, first_name, middle_name, last_name") 
end

источник

2013-04-16 18:09:28 wintermeyer

Безопасен ли метод заказа ActiveRecord для вставки введенных пользователем строк?

ответ

Смежные вопросы