Rails 3.0 及以后版本存在 SQL 注入漏洞
Ruby on Rails 報 SQL 注入漏洞 (CVE-2012-2661),版本涉及 3.0 以及以后的版本,所影響的版本包括:
影響的版本: 3.0.0 and ALL later versions
未受影響的版本: 2.3.14
已修復的版本: 3.2.4, 3.1.5, 3.0.13
例如使用如下的方法會受影響:
Post.where(:id => params[:id]).all
修復的方法:
將下面代碼
Post.where(:id => params[:id]).all
改為
Post.where(:id => params[:id].to_s).all
目前已有補丁修復該問題,詳情請看這里。
本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!