5

我的模型中有一个范围:

scope :assigned_to_user, ->(user) {
task_table = UserTask.table_name

    joins("INNER JOIN #{task_table}
          ON  #{task_table}.user_id = #{user.id}
          AND (#{task_table}.type_id = #{table_name}.type_id)
          AND (#{task_table}.manager_id = #{table_name}.manager_id)
        ")
}

所以在运行刹车报告后,我收到了这个警告:

assigned_to_user | SQL Injection | Possible

所以我尝试了以下方法:

scope :assigned_to_user, ->(user) {
    task_table = UserTask.table_name

        joins(ActiveRecord::Base::sanitize("INNER JOIN #{task_table}
              ON  #{task_table}.user_id = #{user.id}
              AND (#{task_table}.type_id = #{table_name}.type_id)
              AND (#{task_table}.manager_id = #{table_name}.manager_id)
            "))
    }

这对我不起作用,因为它'在 sql 的前后添加了(撇号)。因此,当我将其用作返回一些结果的查询的一部分并应用此范围时,它会生成不正确的 sql。

我也试过这个:

scope :assigned_to_user, ->(user) {
    task_table = UserTask.table_name

        joins("INNER JOIN #{task_table}
              ON  #{task_table}.user_id = ?
              AND (#{task_table}.type_id = #{table_name}.type_id)
              AND (#{task_table}.manager_id = #{table_name}.manager_id)
            ", user.id)
    }

甚至不建立声明。并尝试了其他一些不起作用的东西,甚至不值得一提。有人知道如何解决这个问题吗?

4

1 回答 1

6

经过某种研究,这里就是我会使用的。有一个称为sanitize_sql_array( ref ) 的方法,您可以使用它通过向其传递 sql 字符串和替换值来转义语句,例如:

sanitize_sql_array(['user_id = :user_id', user_id: 5])
# => "user_id = 5"

如果我们将表名传递给此方法,它也会对其进行转义,但会将对象quote方法应用于ActiveRecord::Base.connection值,该方法用于转义变量,但不转义表名。也许有时它会起作用,但是当我使用 PostrgreSQL 时它失败了,因为quote方法使用单引号,但 PostgreSQL 需要对表名使用双引号。

sanitize_sql_array([
  'INNER JOIN :table_name ON :table_name.user_id = :user_id',
  { table_name: 'users', user_id: 5 }
])
# => "INNER JOIN 'users' ON 'users'.user_id = 5"

connectionobject 还有一个方法quote_table_name,可以单独应用于表名,以确保它们被转义+sanitize_sql_array用于用户ID。

scope :assigned_to_user, -> (user) {
  task_table = connection.quote_table_name(UserTask.table_name)
  current_table = connection.quote_table_name(table_name)
  sanitized_sql = sanitize_sql_array([
    "INNER JOIN #{task_table}
    ON  #{task_table}.user_id = :user_id
    AND (#{task_table}.type_id = #{current_table}.type_id)
    AND (#{task_table}.manager_id = #{current_table}.manager_id)",
    { user_id: user.id }
  ])
  joins(sanitized_sql)
}

或者您实际上可以只使用sanitizeonuser.id而不是将所有内容包装在sanitize_sql_array方法调用 ( #{sanitize(user.id)}) 中。

顺便说一句,Brakeman 不会显示任何警告,因为查询已移至变量。Brakeman 按原样解析您的代码,它不知道变量及其内容。所以这一切只是为了让自己确保一切都被逃脱了。

只是为了让 Brakeman 闭嘴,您可以将查询移动到变量:

scope :assigned_to_user, -> (user) {
  task_table = UserTask.table_name
  query = "INNER JOIN #{task_table}
          ON  #{task_table}.user_id = #{user.id}
          AND (#{task_table}.type_id = #{table_name}.type_id)
          AND (#{task_table}.manager_id = #{table_name}.manager_id)"
  joins(query)
}
于 2015-01-09T21:20:38.270 回答