Ruby China

Rails SearchCop 是否安全?

Rei · February 05, 2018 · Last by easonlovewan replied at February 05, 2018 · 1835 hits

看到这个项目挺有意思的,可以用在简单的搜索场景 https://github.com/mrkamel/search_cop

就不知道是否安全,会不会有注入漏洞?

1 likes
hooopo #1 February 05, 2018

感觉和 ransack 差不多。。。

Rei #2 February 05, 2018
Reply to hooopo

有个优点是支持字符串查询语句,ransack 好像不支持,但就是这里我怕有注入。

easonlovewan #3 February 05, 2018
Reply to Rei

ransack 好像不支持英文下划线搜索,两年前遇到的问题,好长时间不用这个插件了。记得当时用了两个转义字符搞定的

Model.where("code like '%\\_%'")
You need to Sign in before reply, if you don't have an account, please Sign up first.