31 votes

yuval avatar

Rails injection SQL?

Demandé el 2 de Juin, 2010
Quand la question a-t-elle été
6747 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Dans Rails, lorsque je veux trouver par un utilisateur une valeur donnée et éviter l'injection SQL (échapper aux apostrophes et autres), je peux faire quelque chose comme ceci: 

 Post.all(:conditions => ['title = ?', params[:title]])

Je sais qu'une façon dangereuse de le faire (injection SQL possible) est la suivante: 

 Post.all(:conditions => "title = #{params[:title]}")

Ma question est la suivante: la méthode suivante empêche-t-elle ou non l'injection SQL? 

 Post.all(:conditions => {:title => params[:title]})
Demandé el 2 de Juin, 2010 par yuval

Réponses

Trop de publicités?

39voto

Philipe avatar
Philipe Points 1838

Oui. Seul le second est dangereux.

Répondu el 2 de Juin, 2010 par Philipe (1838 Points )

8voto

Ed_ avatar
Ed_ Points 1114

Une bonne référence des guides RoR.

Répondu el 2 de Juin, 2010 par Ed_ (1114 Points )

5voto

Mohit Jain avatar
Mohit Jain Points 9959

+1 @fphilipe et @yuval Regardez cette vidéo de 5 minutes de railscast et celle de rails guide

Répondu el 2 de Juin, 2010 par Mohit Jain (9959 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X