NoSQL Injection с помощью простого find_by в RoR

Question

NoSQL Injection с помощью простого find_by в RoR

Я новичок в RoR, и у меня есть основной вопрос.

Коллега сказал мне, что следующий код может вызвать NoSQL Injection:

      User.find_by(username: param[:username])

Я знаю, что я не должен читать напрямую из параметра, но я все еще думаю, что код не может генерировать какие-либо инъекции NoSQL. Я ошибаюсь?

0

ruby-on-rails nosql-injection

Источник

user6768051 22 май '22 в 18:39

1 ответ

Другие вопросы по тегам ruby-on-rails nosql-injection

user229044 22 май '22 в 18:40 2022-05-22 18:40 · Answer 1 · 2022-05-22 18:40

Ваш коллега ошибается и должен создать рабочий эксплойт, если он считает, что это правда.

Предоставление хэша пар ключ/значение в Rail или же методы — это предполагаемый, безопасный и правильный способ использования этих методов. Ключи и значения всегда защищаются перед использованием в запросе.

Есть определенные проблемы, от которых Rails вас не защитит, например, значение может быть гигабайт текста, объект, вложенный хэш пар ключ/значение и т. д., но это не "инъекция" как таковая. Любые специальные символы, которые могут привести к изменению значения запроса, не будут иметь никакого эффекта.