rails brakeman订单sql注入

Question

在从参数构造order方法时，如何避免Rails中的刹车人警告？

def index
  @methods = [:name, :manager, :deadline]
  assignments = Assignment.order(sort_column(@methods) + " " + sort_direction).received(current_user).root
end

def sort_column(column_names)
  column_names.each do |column|
    return column if column == params[:sort]
  end
  return 'updated_at'
end

def sort_direction
  params[:direction] == 'asc' ? 'asc' : 'desc'
end

我正在努力避免将用户生成的代码直接放到查询中，但brakeman仍然警告(中等信心)这是一个SQL注入漏洞。

这是假阳性吗？如果没有，我该如何纠正这个漏洞？

如果是这样，有没有一种简单的方法来避免误报？

Answer 1

好吧，这段评论太长了。

根据我的测试，将字符串构建移动到像这样的方法中确实会使警告消失：

def index
  @methods = [:name, :manager, :deadline]
  assignments = Assignment.order(sort_order).received(current_user).root
end

def sort_order
  sort_column(@methods) + " " + sort_direction
end

然而，这只是隐藏了问题。我建议在Assignment模型中添加类似这样的内容：

class Assignment < ActiveRecord::Base

  def self.sorted_by(column, direction)
    direction = direction.downcase == 'asc' ? 'asc' : 'desc'
    column = sanitize_sql(column)
    order("#{column} #{direction}")
  end

end

请记住，有时你必须在保持工具满意和保持代码合理之间做出选择。至于假阳性，我不认为这个问题会得到解决，因为检查sort_column并知道它是安全的并不简单。

Answer 2

您可以在order by子句上添加一个清理方法

 assignments = Assignment.order(ActiveRecord::Base::sanitize(sort_column(@methods) + " " + sort_direction)).received(current_user).root