Rails, comment assainir SQL dans find_by_sql

Est-il un moyen de désinfecter sql dans les rails de la méthode find_by_sql?

J'ai essayé cette solution:
Ruby on Rails: Comment désinfecter une chaîne de caractères pour SQL lorsque vous n'utilisez pas le trouver?

Mais il ne parvient pas à

Model.execute_sql("Update users set active = 0 where id = 2")

Il renvoie une erreur, mais le code sql est exécutée et que l'utilisateur ayant l'ID 2 a maintenant un compte désactivé.

Simple find_by_sql aussi ne fonctionne pas:

Model.find_by_sql("UPDATE user set active = 0 where id = 1")
# => code executed, user with id 1 have now ban

Edit:

Eh bien, mon client a demandé de faire de cette fonction (select en sql) dans le panneau admin de faire quelques requête complexe(jointures, des conditions spéciales, etc). Donc j'ai vraiment envie de find_by_sql.

Deuxième Edit:

Je veux réaliser que "le mal" code SQL ne sera pas exécutée.

Dans le panneau d'administration, vous pouvez taper query -> Update users set admin = true where id = 232 et je veux bloquer toute mise à JOUR /SUPPRIMER /MODIFIER des commandes SQL.
Je veux juste savoir, qu'ici, vous ne pouvez SÉLECTIONNER.

Après quelques tentatives pour conclure, je sanitize_sql_array malheureusement, ne le faites pas.

Est-il un moyen de le faire dans les Rails??

Désolé pour la confusion..

source d'informationauteur nothing-special-here

  1. 13

    Essayez ceci: 

    connect = ActiveRecord::Base.connection();
connect.execute(ActiveRecord::Base.send(:sanitize_sql_array, "your string"))

    Vous pouvez l'enregistrer dans une variable et de l'utiliser pour vos besoins.

  2. 10

    J'ai fait un petit extrait de ce que vous pouvez mettre dans les initialiseurs.

    class ActiveRecord::Base  
  def self.escape_sql(array)
    self.send(:sanitize_sql_array, array)
  end
end

    Droit maintenant, vous pouvez échapper à votre requête: 

    query = User.escape_sql(["Update users set active = ? where id = ?", true, params[:id]])

    Et vous pouvez appeler la requête de la façon que vous voulez:

    users = User.find_by_sql(query)
  3. 8

    Un peu plus d'usage général:

    class ActiveRecord::Base  
  def self.escape_sql(clause, *rest)
    self.send(:sanitize_sql_array, rest.empty? ? clause : ([clause] + rest))
  end
end

    Permet de l'appeler comme vous le feriez type dans une clause where, sans les crochets, et en utilisant la matrice de style ? ou de hachage de style interpolations.

  4. 4

    De l'utilisateur.find_by_sql(["SELECT * from users where (nom = ?)", params])
    Trouvé à http://blog.endpoint.com/2012/10/dont-sleep-on-rails-3-sql-injection.html

  5. 1

    Bien que cet exemple est pour INSÉRER une requête, on peut utiliser une approche similaire pour les requêtes de mise à JOUR. Raw SQL d'insertion en bloc:

    users_places = []
users_values = []
timestamp = Time.now.strftime('%Y-%m-%d %H:%M:%S')
params[:users].each do |user|
    users_places << "(?,?,?,?)" # Append to array
    users_values << user[:name] << user[:punch_line] << timestamp << timestamp
end

bulk_insert_users_sql_arr = ["INSERT INTO users (name, punch_line, created_at, updated_at) VALUES #{users_places.join(", ")}"] + users_values
begin
    sql = ActiveRecord::Base.send(:sanitize_sql_array, bulk_insert_users_sql_arr)
    ActiveRecord::Base.connection.execute(sql)
rescue
    "something went wrong with the bulk insert sql query"
end

    Ici est la référence à sanitize_sql_array méthode dans ActiveRecord::Baseil génère la bonne chaîne de requête par s'échapper les apostrophes dans les cordes. Par exemple, le punch_line "de Ne pas les laisser vous vers le bas" devient "Don\'t laisser vous vers le bas".