Rails 3 - Безопасен ли этот SQL?

Question

Я новичок в Rails, и я испек этот маленький контроллер входа.

def create 
    username = params[:user].downcase 
    user = User.where("username = ? OR email = ?", username, username)[0] 
    if user and user.check_password(params[:password], user.password, user.salt) 
     cookies[:auth] = user.auth 
     redirect_to root_url 
    else 
     flash.now.notice = 'Login failed' 
     render 'new' 
    end 
    end 

Мне интересно, если это безопасно или мне нужно добавить какую-то санитацию поверх имени пользователя?

Answer 1

Если вы используете предоставленный вытекающее объект, который является то, что ? заполнителей для, то вы должны быть защищены от ошибок SQL инъекций при условии вы в последней версии Rails и других важных компонентов.

Пример безопасного кода:

User.where(:username => arg) 
User.where('username=?', arg) 

Пример небезопасных код:

User.where('username="#{arg}"') 

Обратите внимание, что вы должны использовать интерполяцию строки для создания инъекции SQL ошибки. Это должно быть довольно очевидно при проверке кода, и редко бывает оправданием для этого. Если вы по какой-то причине должны быть абсолютно уверены, что любое значение, которое вы вводите, правильно экранировано или происходит из белого списка известных значений.

В старых версиях Rails и некоторых популярных инструментах разбивки на страницы и проверки подлинности были обнаружены SQL-инъекции, которые могут быть использованы. Убедитесь, что у вас есть текущие версии. При необходимости удалите Gemfile.lock и выполните очистку bundle install.