Возможна ли здесь инъекция SQL?

Question

Возможна ли здесь инъекция SQL?

Я запустил инструмент статического анализа кода (тормозник) в приложении rails, и он сообщил о некоторых уязвимостях SQL-инъекций, которые, как я подозреваю, могут быть ложными срабатываниями. Оскорбительные строки выглядят так:

#things_controller.rb

def index
  Thing.select(params[:columns]).where(params[:conditions])
end

Я не могу придумать способ использовать это, но он кажется довольно открытым, достаточно ли это безопасно (этот контроллер все равно требует административного доступа) или его можно использовать?

Ruby 2.0.0-p247, Rails 4.0.0

0

ruby-on-rails sql-injection brakeman

Источник

user1478217 19 авг '13 в 09:49

1 ответ

Решение

Другие вопросы по тегам ruby-on-rails sql-injection brakeman

user512907 19 авг '13 в 10:44 2013-08-19 10:44 · Accepted Answer · 2013-08-19 10:44

Хотя в rails есть несколько встроенных фильтров для специальных символов, это определенно уязвимо:

http://guides.rubyonrails.org/security.html

Если вы хотите проверить это самостоятельно, запустите полное сканирование с помощью sqlmap, используя URL этого действия с conditions Получить параметр