ruby-on-rails – Rails 5 SQL注入

似乎有很多类似的方法,很多答案都说使用不同的方法.

>消毒
> sanitize_conditions
> sanitize_sql
> sanitize_sql_array
> sanitize_sql_for_assignment
> sanitize_sql_for_conditions
> sanitize_sql_hash
> sanitize_sql_hash_for_assignment
> sanitize_sql_hash_for_conditions
> sanitize_sql_like

我正在尝试编写一个“原始查询”适配器,让我可以运行原始的POSTGRes查询,但允许我插入我自己的危险用户输入参数.

我不能在这几个例子中使用AR,因为我做复杂的长时间/长时间的计算,聚合函数,复杂的子查询等.

到目前为止我已经尝试了两种方法：

方法1

对于这种方法,我不知道清洁是否是上述的最佳选择,或者如果它在100％的情况下工作…(我仅使用PostgreS)

class RawQuery

  def exec(prepared,*params)
    params.each_with_index do |p,i|
      prepared.gsub!("$#{i + 1}",ActiveRecord::Base.sanitize(p))
    end
    ActiveRecord::Base.connection.exec_query(prepared)
  end

end

简单的使用示例(通常不会这么简单,或者我只是使用AR)：

RawQuery.new.exec(‘SELECT * FROM users WHERE name = $1’,params [：name])

此外,它似乎对2007年的代表进行了消毒.但根据this SO post的说法,简单地用单引号包装东西是不安全的…所以我不知道.

方法2

我不知道这是否同样安全,但似乎使用了一个实际的PG准备功能(我认为是100％安全的).唯一的问题是rails不会将其打印到控制台,也不包括SQL执行时间(这会破坏我的分析工具).

class RawQuery

  def prepare(query,*params)
    name = "raw_query_#{SecureRandom.uuid.gsub('-','')}"
    connection = ActiveRecord::Base.connection.raw_connection
    connection.prepare(name,query)
    connection.exec_prepared(name,params)
  end

end

用同样的方法：

RawQuery.new.prepare(‘SELECT * FROM users WHERE name = $1’,params [：name])

一种方法比另一种方法更安全吗？都100％安全吗？

我的应用程序总是远远超出了Rails能够采用SQL方式的能力,我需要一个很好的lib,我可以在我所知道的所有项目中包含完全安全的内容.