paginate_by_sql(原为find_by_sql)中如何避免sql 注入

最新推荐文章于 2024-08-23 22:25:53 发布

iteye_7717

最新推荐文章于 2024-08-23 22:25:53 发布

阅读量282

点赞数

分类专栏：记录文章标签： SQL Ruby

记录专栏收录该内容

14 篇文章

订阅专栏

本文探讨了在使用find_by_sql时如何防止SQL注入攻击的问题，并提供了一种简单有效的DRY方法：通过Base.connection.quote(value)来安全地引用参数。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

在一些不得不使用find_by_sql的场合,何如避免sql注入攻击?
简单有效DRY的方法:
where column = #{Base.connection.quote(value)}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iteye_7717

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Jfinal应用之基础sql语法使用

h1558589199的博客

10-15

2015

1、查询出符合条件的数据 List<Record> list = db.find(sql); 2、查出符合条件的第一条数据 Record record = Db.findFirst(sqlPara); 3、获取数值类型的单个返回值； Int count = Db.queryInt( sqlPara ); Long count = Db.queryLong( sqlPar...

JFinal之旅——Sql 管理与动态生成实现简洁分页

qq_35823302的博客

08-08

693

之前讲到的分页查询还不够完美，接下来说下JFinal中的Sql语句管理，来实现简洁的分页操作。创建sql文件说明：我这里用的方法是只添加一个主sql文件main.sql，main.sql里面引用其他sql文件。 main.sql文件内容说明：引用同级目录下的user.sql 和 test.sql文件。注意：获取user.sql文件中的sql语句时，需要加上namespace(“user”

参与评论您还未登录，请先登录后发表或查看评论

Rails：find_by_sql

dengxingbo的专栏

11-05

4314

# Executes a custom SQL query against your database and returns all the results. The results will # be returned as an array with columns requested encapsulated as attributes of the model

paginate_by_sql

渐行渐近

04-16

1263

今天一个早上纠结于如何将我用find_by_sql查询出来的结果，用WillPaginate进行分页。每页显示条数和offset值都很容易得到，根据查询结果总数和每页条目数也能得到总页数，就是不知道怎么把这些值传给WillPaginate。看了分页的部分主要是在collection.rb文件中实现的，但就是无从下手 orz 。充分认识到自己天天码重复的代码，对于Class、Model最基本的思想还

RailsCasts中文版，#25 SQL Injection 谨防SQL注入

边晓宇@优快云

06-04

4212

接下来的几篇，我们会讨论一些关于安全的话题，以免你的站点频频遭受黑客的攻击。其中第一个基本安全原则就是永远不要信赖来自用户的输入。在Rails中来讲就是说，从页面参数中传递进来的数据一定要小心对待。用户可以有意的设置参数值，甚至可以设置参数键，所以得谨慎的使用。这个原则对于cookie数据也同样适用。而会话数据中的内容是由我们的程序控制的，可以放心使用。所有安全问题中，SQL注入是最最臭名昭著

paginate_by_sql中的%

难得悠闲自得

07-27

182

paginate_by_sql与find_by_sql有个不同，就是对于%的使用。 DATE_FORMAT(goods.transaction_date, '%Y-%m-%d')这种写法在find_by_sql中没有问题，但是对于paginate_by_sql，会报错：malformed format string - %Y。 [b]解决方法[/b] 把%改为两个： DATE_FORM...

Ruby on Rails如何防止SQL注入。

edison702的专栏

11-05

1052

代码： sort_by = "email" # really params[:sort_by] sort_direction = "asc" # really params[:sort_direction] User.order("#{sort_by} #{sort_direction}") # SELECT "users".* FROM "users" ORDER BY email

新闻管理系统的设计与实现（含源码+sql+视频导入教程+论文）

最新发布

coderWangbuer的博客

08-23

1019

新闻管理系统拥有两个角色，分别为用户和管理员

JFinal中的Sql高级查询优化原理

JFinal还为开发人员提供了一系列丰富的工具和插件，使得开发过程更加便捷高效。 ## 1.2 Sql查询优化的重要性在开发数据库相关的应用时，Sql查询的性能往往是决定系统性能的关键因素之一。如果Sql查询执行效率低下...

node.js_sequelize

03-19

Sequelize 是一个基于 Promise 的 Node.js ORM（对象关系映射），用于 PostgreSQL、MySQL、MariaDB、SQLite 和 Microsoft SQL Server 数据库。它具有强大的事务支持、关联关系、预读和延迟加载以及读取复制等功能，...

rails kaminari 分页插件 find_by_sql查询

jxpjava08的博客

04-09

266

当我们要使用find_by_sql 查询的时候，kaminary的使用方法是： sql = “" @products = Kaminari.paginate_array(Product.find_by_sql(sql)).page(params[:page]).per(20)

rails find_by_sql page分页

TryCatch

01-17

760

直接上代码sql = "select *From hospitals"@hospital = Hospital.find_by_sql(sql)@hospital = Kaminari.paginate_array(sql ).page(params[:page]).per(20)@hospital = Kaminari.paginate_array(@hospital ).page(par

find_by_sql 返回值问题

Travor is travelling...

10-10

1337

最近在做一个公司内部的系统，因为ROR开发速度较快，所以就用了它，后面会纪录一些开发的经验上来。在用find方法执行查询的时候，返回值肯定是一个类的集合（Array），这时候可以直接调用类的属性，但是在用find_by_sql的时候，例如，下面的sql语句：sql = "SELECT (TO_DAYS(FINISH_DATE) - TO_DAYS(START_DATE)) AS DAYS,(T

sql注入

weixin_42219287的博客

06-02

330

def get_info_by_name(self): find_name = input('请输入要查询的商品名字：') sql = '''select * from goods where name = '%s';''' % find_name print('------------>%s<-----------' % sql) self.execute_sql(sql) 请输入要查询的商品名字： 'or 1=1 o...

关于Yii中findBySql的查询

大道泛兮

09-19

6309

在Yii的AR类中，有个方法叫findBySql，这个方法在很多时候解决了

django插件-dj-pagination简单设置实现分页（甚至不用在view上写paginate）

李谦的博客

12-19

4403

1. 概述django真的有好多简单方便好用的轮子！！！这次介绍的这个是用于分页的，django中本身提供了实现分页的对象，但是每次都要写一堆业务代码，也是神烦。在django-awesome项目中发现了这个轮子：dj-pagination项目地址dj-pagination文档地址文档也很简单，三四页的样子。下面一起来探索一下吧！2. 快速实现A. 将以下配置加入settings文件中.

Rails分页plugin之will_paginate

Roy，Song@优快云

06-26

3669

搜索结果的分页显示是一个常用功能,实现方式有很多中,rails也内建了对分页的支持,但是rails2.0将去掉分页组件,将分页功能交给plugin去实现,这里通过一个简单的例子展示如何使用最流行的rails分页plugin -- will_paginate. 1.安装will_paginate,编写分页代码安装: ruby script\plugin install svn://e

Rails使用will_paginate插件进行分页

Leeyiing的专栏

12-02

1310

今天尝试使用will_paginate插件实现分页。 1. 按照官方文档https://github.com/mislav/will_paginate/wiki/Installation安装will_paginate插件。在Gemfile中添加： gem 'will_paginate', '~> 3.0.5' 然后在Project的路径下运行：bundle install 出现错误

jfian ajax 分页插件,JFinal 文档、资料、学习、API，paginate 分页

weixin_28729843的博客

08-06

780

1、常用 paginateModel 与 Db 中提供了最常用的分页API：paginate(int pageNumber, int pageSize, String select, String sqlExceptSelect, Object... paras)其中的参数含义分别为：当前页的页号、每页数据条数、sql语句的select部分、sql语句除了select以外的部分、查询参数。绝大多数...

改进代码var req []*Total res := db.Scopes(models.Paginate(page, pageSize)).Raw("SELECT * FROM flaws WHERE facility_id = ? "+ "UNION SELECT * FROM issues WHERE facility_id = ? "+ "UNION SELECT * FROM records WHERE facility_id = ? "+ "UNION SELECT * FROM qualities WHERE facility_id = ? "+ "UNION SELECT * FROM inspections WHERE facility_id = ?", code, code, code, code, code).Find(&req)

05-26

可以尝试使用预编译语句来优化 SQL 查询性能，同时使用占位符来避免 SQL 注入攻击。改进后的代码如下所示： ```go stmt, err := db.DB().Prepare("SELECT * FROM flaws WHERE facility_id = ? " + "UNION SELECT * FROM issues WHERE facility_id = ? " + "UNION SELECT * FROM records WHERE facility_id = ? " + "UNION SELECT * FROM qualities WHERE facility_id = ? " + "UNION SELECT * FROM inspections WHERE facility_id = ? " + "LIMIT ? OFFSET ?") if err != nil { // 处理错误 } defer stmt.Close() req := make([]*Total, 0) offset := (page - 1) * pageSize limit := pageSize rows, err := stmt.Query(code, code, code, code, code, limit, offset) if err != nil { // 处理错误 } defer rows.Close() for rows.Next() { var item Total err := rows.Scan(&item) if err != nil { // 处理错误 } req = append(req, &item) } if err := rows.Err(); err != nil { // 处理错误 } res := db.Model(&Total{}).Where("facility_id = ?", code).Count(&Total{}) // 处理结果 ``` 这里我们使用了 `db.DB().Prepare()` 方法来预编译 SQL 查询语句，并使用占位符 `?` 来代替变量，从而避免了 SQL 注入攻击。同时，我们也将分页查询的 `LIMIT` 和 `OFFSET` 参数移到了 SQL 查询语句中，以避免使用 `Scopes()` 方法产生额外的查询开销。在查询结果时，我们使用 `stmt.Query()` 方法来执行查询，并使用 `rows.Scan()` 方法将查询结果映射到结构体中。最后，我们使用 `db.Model().Where().Count()` 方法来查询总记录数，并将结果返回给调用者。