2
update_attributes可以防止sql注入吗?ruby on rails does update_attributes防止sql注入?
例子:
if @user.update_attributes(params[:user])
# updated
end
我知道找到()和{}并在找到[]做:条件,但没有看到这种方法的任何信息。
A
回答
4
是的,它的确如此。在内部,它只是遍历所有属性,设置它们的值然后调用保存!
def update_attributes(attributes)
with_transaction_returning_status do
self.attributes = attributes
save
end
end
def attributes=(new_attributes, guard_protected_attributes = true)
...
attributes.each do |k, v|
if k.include?("(")
multi_parameter_attributes << [ k, v ]
elsif respond_to?("#{k}=")
send("#{k}=", v)
else
raise(UnknownAttributeError, "unknown attribute: #{k}")
end
end
end
换句话说,它的作用是
m.update_attributes(:attr1 => "foo", :attr2 => "bar")
m.attr1 = "foo"
m.attr2 = "bar"
m.save
2
Rails3中与数据库交互的所有activerecord方法对于sql注入都是安全的。
唯一的例外是,如果你使用原始SQL的选项之一,例如:
Comment.find(:all, :conditions => "user_id = #{params[:user]}")
首选的形式是:
Comment.find(:all, :conditions => {:user_id => params[:user})
这将防止SQL注入自动受到保护。
相关问题
- 1. 通过ruby脚本防止SQL注入
- 2. 在Rails中防止SQL注入
- 3. 防止SQL注入
- 4. 如何防止SQL注入?
- 5. Ruby on Rails - SLIM - SCSS - 注入ruby变量
- 6. SQL防止SQL注入
- 7. 防止SQL注入查询
- 8. 防止SQL注入与PHP
- 9. pdo防止sql注入
- 10. 防止SQL注入在asp.net
- 11. 防止SQL注入在ZF
- 12. TryParse防止SQL注入吗?
- 13. 防止SQL注入的PHP
- 14. Ruby on Rails和XSS预防
- 15. 关注请求Ruby on Rails
- 16. 登录/注册Ruby on Rails?
- 17. Ruby on Rails注册数据?
- 18. LINQ-To-SQL如何防止SQL注入?
- 19. PHP + SQL脚本 - 防止SQL注入
- 20. rake中止! Ruby on rails
- 21. 使用column_names.include?防止SQL注入?
- 22. javascript on禁止的Ruby on Rails remote_form_for
- 23. Ruby on Rails回形针update_attributes不起作用
- 24. update_attributes方法不给错误的Ruby on Rails的
- 25. Ruby on Rails + Sql Server 2005
- 26. Ruby on Rails与sql server
- 27. SQL/Ruby on Rails项目
- 28. Ruby on Rails的SQL优化
- 29. Ruby on Rails和MS SQL EXPRESS
- 30. 无法防止SQL注入在Rails中的查询