रेल में कच्चे एसक्यूएल को स्वच्छ करने के लिए कैसे करें 4

Question

रेल 3 में मैं उन मौलिक क्षणों के लिए कच्चे एसक्यूएल को स्वच्छ करने के लिए sanitize_sql_array का उपयोग कर सकता हूं जहां कच्चे SQL क्वेरी की आवश्यकता होती है। लेकिन ऐसा लगता है कि रेल 4 में हटा दिया गया है, या इतना हटाया नहीं गया है, लेकिन ActiveRecord :: Sanitization में स्थानांतरित हो गया है। हालांकि, मैं यह नहीं समझ सकता कि sanitize_sql_array पर कॉल कैसे करें, तो रेल 4 में कच्चे एसक्यूएल को स्वच्छ करने का सबसे अच्छा तरीका क्या है?

मैं यह स्पष्ट करना चाहता हूं कि मैं रेल के मॉडल का उपयोग न करने के लिए यहां एक पूर्ण कच्चे SQL क्वेरी के बारे में बात कर रहा हूं। मुझे पता है कि यह सबसे अच्छा अभ्यास नहीं है, यह वही है जो मुझे इस विशिष्ट क्वेरी के लिए करना है क्योंकि इसे रेल के अच्छे ActiveRecord इंटरफ़ेस द्वारा प्रदर्शित नहीं किया जा सकता है (मेरा विश्वास करो, मैंने कोशिश की है)। एक SQL क्वेरी को साफ़ करने में Active Record docs, सबसे अच्छा तरीका से

query = "SELECT * FROM users 
LEFT OUTER JOIN posts ON users.id=posts.user_id 
AND posts.topic_id = '#{topic.id}'" 
# ^- Obviously bad and very vulnerable, this is what we're trying to fix 
ActiveRecord::Base.connection.select_all(query) 

Answer 1

को से बचने के है हमारे अपने निर्माण करने के लिए:

यहां नमूने कॉल, जो स्पष्ट रूप से अपनी क्वेरी वास्तव में कैसा दिखता से अधिक आसान है शुद्ध स्ट्रिंग के रूप में की स्थिति, दूसरे शब्दों में, मानकों सीधे क्वेरी में, सम्मिलित करता है इस तरह:

User.find_by("user_name = '#{user_name}' AND password = '#{password}'") 

और बदले सरणी या हैश की स्थिति का उपयोग करें।

सरणी की स्थिति:

Client.where("orders_count = ? AND locked = ?", params[:orders], false) 

हैश की स्थिति:

Client.where(is_active: true) 

एक स्पष्ट उदाहरण:

:

class User < ActiveRecord::Base 
    # UNSAFE - susceptible to SQL-injection attacks 
    def self.authenticate_unsafely(user_name, password) 
    where("user_name = '#{user_name}' AND password = '#{password}'").first 
    end 

    # SAFE 
    def self.authenticate_safely(user_name, password) 
    where("user_name = ? AND password = ?", user_name, password).first 
    end 

    # SAFE 
    def self.authenticate_safely_simply(user_name, password) 
    where(user_name: user_name, password: password).first 
    end 
end 

यहाँ कुछ संदर्भ हैं

• http://api.rubyonrails.org/classes/ActiveRecord/Base.html#method-c-sanitize_sql_array
• http://guides.rubyonrails.org/active_record_querying.html

Answer 2

आप quote उपयोग कर सकते हैं क्या तुम सच में कच्चे एसक्यूएल लिखने के लिए की जरूरत है यह साफ़ करने में:

conn = ActiveRecord::Base.connection 
name = conn.quote("John O'Neil") 
title = conn.quote(nil) 
query = "INSERT INTO users (name,title) VALUES (#{name}, #{title})" 
conn.execute(query) 

Answer 3

बोली विधि और अन्य ActiveRecord::Base सफ़ाई तरीकों पदावनत किया गया है, और थे सार्वजनिक एपीआई का हिस्सा कभी नहीं।

https://github.com/rails/rails/issues/28947

आधिकारिक सफ़ाई तरीकों

http://api.rubyonrails.org/classes/ActiveRecord/Sanitization/ClassMethods.html