1

我的user_ransaker.rb文件中有以下代码:

ransacker :new_donors do
      sql = %{(
              users.id IN (
                #{User.new_donor_sql}
              )
            )}
      Arel.sql(sql)
    end

型号user.rb

def self.new_donor_sql
    part_1 = %{(
      SELECT distinct(user_id)
      FROM donations
    }
    part_1
end

对于上述声明,我收到以下 Brakeman 警告:

Confidence: High
Category: SQL Injection
Check: SQL
Message: Possible SQL injection
Code: Arel.sql("(\n users.id IN (\n #{User.new_donor_sql}\n)\n)")
File: app/models/concerns/user_ransackers.rb

这是一个有效的错误吗??如果我使用 ActiveRecord 编写 SQL 语句,如果需要插入值,我可以使用占位符。我不确定如何解决此警告。如果这是一个有效的警告,我该如何补救?

4

1 回答 1

0

如果你要 Arel 然后做一些关系代数:

class User < ApplicationRecord
  def self.new_donor_sql
    arel_table.project(arel_table[:user_id]).distinct
  end
end

ransacker :new_donors do
  User.arel_table.then do |users|
    users.where(users[:id].in(User.new_donor_sql)).where_sql
  end
end

您也可以只删除类方法:

ransacker :new_donors do
  User.arel_table.then do |users|
    subquery = users.project(users[:user_id]).distinct
    users.where(users[:id].in(subquery)).where_sql
  end
end
于 2021-04-23T20:39:36.010 回答