Raylar ActiveRecord değişken bu sorgu çalışır, ancak SQL enjeksiyon için tamamen açıktır maddesini

Question

katılmak kaçış? conditions parametresi, bu amaç için ['foo = ?', bar] biçimini sağlar, ancak joins bunu yapmaz.

find_by_sql kullanmak istemiyorum çünkü daha sonra modelin varsayılan kapsamının (DRY olmayacak) bir parçası olan birleşimleri ve koşulları eklemem gerekecek.

Düzenleme: Benim tablo yapısı esasen şudur: Bu yalnızca sınırlı katılımı Raylar salt okunur bir veritabanı

products: pid (primary key) 
product_dist_match: pid, cid, code 
customers (not used in the query): cid (primary key) 

Not söyledi. Tüm tablolar için modeller kurmayı planlamıyorum; Sadece kendimi SQL enjeksiyon saldırılarına maruz bırakmadan, yukarıda açıklandığı gibi basit bir sorgu yapmak istiyorum.

Answer 1

buldum cevap modeline .sanitize yöntemi kullanmaktır:

products = Product.find(pids, 
    :select => 'products.*, P.code', 
    :joins => 'left join product_dist_match P on 
    (P.pid = products.pid and P.cid = ' + Product.sanitize(cid) + ')', 
) 

daha iyi bir çözüm bulmak yayınlamayın lütfen!

Answer 2

Bu, yapmaya çalıştığınız şeylerin daha fazlası gibi görünüyor.

products = Product.find(pids, 
    :select => 'products.*, P.code', 
    :joins => sanitize_sql_array [ 
     'left join product_dist_match P on P.pid = products.pid and P.cid = ?', 
     cid 
    ]