Ruby on rails 发布空数组是不安全的?为什么?
我在rails日志中注意到,如果有一个空数组的帖子,它会说:Ruby on rails 发布空数组是不安全的?为什么?,ruby-on-rails,Ruby On Rails,我在rails日志中注意到,如果有一个空数组的帖子,它会说: **attribute** was set to nil, because it was one of [], [null] or [null, null, ...]. Go to http://guides.rubyonrails.org/security.html#unsafe-query-generation for more information. 当阅读在该url和部分找到的文章时,他们给出了以下示例: 由于活动记录结合
**attribute** was set to nil, because it was one of [], [null] or [null, null, ...]. Go to http://guides.rubyonrails.org/security.html#unsafe-query-generation for more information.
User Load (0.5ms) SELECT "users".* FROM "users" WHERE 1=0 LIMIT 1
user.reset_password!
nil.reset_password!
那么这个例子中的安全漏洞在哪里呢?我肯定有很多例子,但其中一个可能是: 假设params[:foo]是[null,null,…],那么您可以有如下代码:
params.each do |foo|
User.where(foo: foo)…
end
我没有看过,但我想可能会有一些关于为什么的深入博客帖子…在示例中,作者检查了一个nil标记:除非params[:token]。nil?然后调用User.find_by_令牌,假设他们已经防范了nil案例
不幸的是,如果params[:token]是空的而不是nil,那么find_by_令牌仍然会执行,并返回第一个用户一个nil令牌。查询类似于SELECT users.*FROM users,其中token为NULL LIMIT 1。我不确定1=0是从哪里来的。我把它放在控制台中得到的。。。User.where:token=>[]。to_sql=>SELECT\users\.*FROM\users\where 1=0。。。和User.find_by_token[]=>用户加载0.5ms选择用户。*从1=0的用户中限制1。。。这两条语句实际上都不会返回用户,因此我认为rails指南中的示例是假的。但是,user.find_by_token[nil]可以:从users.token为NULL LIMIT 1的用户中选择users.*,因此我得到了。。我只是不明白空数组的情况。
nil.reset_password!
NoMethodError: undefined method `reset_password!' for nil:NilClass
params.each do |foo|
User.where(foo: foo)…
end