Mysql RubyonRails上的sql注入类似';%#{argument}%易受攻击?
我有一个关于RubyonRails sql注入漏洞的问题。假设我有这样一种方法:Mysql RubyonRails上的sql注入类似';%#{argument}%易受攻击?,mysql,ruby-on-rails,security,sql-injection,Mysql,Ruby On Rails,Security,Sql Injection,我有一个关于RubyonRails sql注入漏洞的问题。假设我有这样一种方法: def self.search(args) where_clause = `items`.`name` LIKE '%#{args}%' results = Item::where(where_clause) return results end 其中args是从搜索框传入的值。这容易受到攻击吗?我最初的想法是,这将很容易受到攻击,然而,在尝试了一些查询之后,我无法做到 “%”是否有什么特殊之处使其不受攻击
def self.search(args)
where_clause = `items`.`name` LIKE '%#{args}%'
results = Item::where(where_clause)
return results
end
其中args是从搜索框传入的值。这容易受到攻击吗?我最初的想法是,这将很容易受到攻击,然而,在尝试了一些查询之后,我无法做到
“%”是否有什么特殊之处使其不受攻击
谢谢 为了安全起见,我通常会这样做:
Item.where("name LIKE ?", "%#{args}%")
您尝试了什么数据库?:)我们正在开发我自己的本地数据库。我的意思是:mysql、postgre、sqlite等等?你到底尝试了什么?哦,我道歉。是mysql。我尝试了一个%'或1=1'a,它允许我显示所有记录,这显然意味着它可以被注入,但我无法得到一个delete或destroy语句来处理。我同意你的看法,为了安全起见,我也喜欢这种方法。但是,像“%”这样的攻击就不易受到攻击了吗?我试过几个不同的角度。