Я получаю ошибку безопасности в своем коде ROR, что внедрение SQL может быть возможным в одном пост-запросе, когда я запустил в моем коде средство ZW-атаки OWASP.У меня есть метод get_auth_token, который не принимает никаких параметров, инструмент ZAP добавляет параметр запроса в этот запрос, и при выполнении запроса модификатора страница загружается нормально, что является проблемой
Ниже приведен модифицированный URL с добавленным параметром запроса
https://example.com/api/sessions/get_auth_token?query=query+AND+1%3D1+--+
Реализация get_auth_token выглядит следующим образом
def get_auth_token
user = User.find_by(id: session[:user_id], disabled: false)
if session[:user_id]
if user
token = AuthToken.issue(user_id:user.username)
session[:user_id] = user.id
session[:username] = user.username
session[:project_id] = user.get_setting('xyz', nil)
User.update(user.id, :token=>token)
Я не хочу преобразовывать этот запрос в GET.Я рассмотрел много примеров предотвращения SQL-инъекций, все они сосредоточены на методах, которые принимают некоторые параметры.Мой метод не принимает никаких параметров.Как я могу убедиться, что он не принимает никаких внешних параметров, чтобы предотвратить эту инъекцию SQL