http://www.oschina.net/news/29563/rails-sql-injection-vulnerability
https://groups.google.com/forum/?fromgroups#!topic/rubyonrails-security/dUaiOOGWL1k
Ruby on Rails 报 SQL 注入漏洞 (CVE-2012-2661),版本涉及 3.0 以及以后的版本,所影响的版本包括:
影响的版本:3.0.0 and ALL later versions 未受影响的版本:2.3.14 已修复的版本:3.2.4, 3.1.5, 3.0.13
例如使用如下的方法会受影响:
Post.where(:id => params[:id]).all
修复的方法:
将下面代码
Post.where(:id => params[:id]).all
改为
Post.where(:id => params[:id].to_s).all
目前已有补丁修复该问题,详情请看这里。