Как избежать строки в Ruby для защиты от SQL-инъекций? (Без рельсов)

Question

Я просто хотел узнать, как мы можем избежать SQL-запроса (строки) в Ruby, чтобы предотвратить SQL-инъекцию. обратите внимание, я не использую Rails Framework.

Спасибо.

Answer 1

Если возможно, используйте модуль Ruby DBI, и вместо того, чтобы пытаться заключить в кавычки ваши строки, используйте параметризованные подготовленные запросы, как это:

dbh = DBI.connect("DBI:Mysql:test:localhost", "testuser", "testpass")
sth = dbh.prepare("INSERT INTO people (id, name, height) VALUES(?, ?, ?)")
File.open("people.txt", "r") do |f|
  f.each_line do |line|
    name, height = line.chomp.split("\t")
    sth.execute(nil, name, height)
  end
end

Цитирование будет обработано для вас должным образом, а инъекции останутся в прошлом.

Edit: обратите внимание, что в этом примере показано, что nil передается в качестве первого параметра для execute (). Это соответствует первому? в запросе и переводится в «NULL» модулем DBI. Другие параметры аналогично правильно указаны и вставлены в запрос.

Answer 2

Напишите крошечную функцию для цитирования строк. Я думаю, что Rails просто использует что-то вроде этого:

def quote_string(v)
  v.to_s.gsub(/\\/, '\&\&').gsub(/'/, "''")
end

Answer 3

Вам не нужно использовать рельсы, вы можете просто require 'activerecord' и использовать его, как если бы вы использовали рельсы (определите модели и используйте их). То, что вы делаете, это просто изобретаете колесо.

Answer 4

Не пытайтесь дезинфицировать ваши данные. Используйте готовые заявления. Смотрите также http://bobby -tables.com / ruby.html