从参数构造 order 方法时,如何避免 Rails 中出现刹车警告?
def index
@methods = [:name, :manager, :deadline]
assignments = Assignment.order(sort_column(@methods) + " " + sort_direction).received(current_user).root
end
def sort_column(column_names)
column_names.each do |column|
return column if column == params[:sort]
end
return 'updated_at'
end
def sort_direction
params[:direction] == 'asc' ? 'asc' : 'desc'
end
我正在努力避免将用户生成的代码直接放入查询中,但 Brakeman 仍然警告(中等可信度)这是一个 SQL 注入漏洞。
这是误报吗?如果不是,我该如何修复该漏洞?
如果是这样,有没有一种简单的方法可以避免误报?
好吧,这篇评论太长了。
根据我的测试,将字符串构建移动到这样的方法中确实会使警告消失:
def index
@methods = [:name, :manager, :deadline]
assignments = Assignment.order(sort_order).received(current_user).root
end
def sort_order
sort_column(@methods) + " " + sort_direction
end
然而,这只是掩盖了问题。我建议添加这样的东西到Assignment
模型代替:
class Assignment < ActiveRecord::Base
def self.sorted_by(column, direction)
direction = direction.downcase == 'asc' ? 'asc' : 'desc'
column = sanitize_sql(column)
order("#{column} #{direction}")
end
end
请记住,有时您必须在保持工具满意和保持代码合理之间做出选择。至于误报,我认为这个特定问题没有得到解决,因为检查起来并不简单sort_column
并知道它是安全的。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)