Rails 注意 sql injection 漏洞

zeeler · 2012年06月02日 · 最后由 bony 回复于 2012年06月02日 · 3343 次阅读

http://www.oschina.net/news/29563/rails-sql-injection-vulnerability

https://groups.google.com/forum/?fromgroups#!topic/rubyonrails-security/dUaiOOGWL1k

Ruby on Rails 报 SQL 注入漏洞 (CVE-2012-2661)，版本涉及 3.0 以及以后的版本，所影响的版本包括：

影响的版本：3.0.0 and ALL later versions 未受影响的版本：2.3.14 已修复的版本：3.2.4, 3.1.5, 3.0.13

例如使用如下的方法会受影响：

Post.where(:id => params[:id]).all

修复的方法：

将下面代码

Post.where(:id => params[:id]).all

改为

Post.where(:id => params[:id].to_s).all

目前已有补丁修复该问题，详情请看这里。

无引用文章

为什么这里有 sql 注入的漏洞呢？

huobazi #1 2012年06月02日

mongoid 还影响么？

youknow #2 2012年06月02日

to_s 做什么？to_i 就行了嘛。

zeeler #3 2012年06月02日

呃，我只是转发一下。。。解决方案可以自己去考虑，转发的内容可能不是最佳方案

hysios #4 2012年06月02日

@zeeler thx

jerryshen #5 2012年06月02日

还有这么一说...

weihuilee #6 2012年06月02日

to_s 的作用主要是将 Params[:xx] 里的 hash 转化。。。这漏洞主要问题在于，我们可以伪造别的字段查询，而非针对我们需要的字段进行查询。如下面代码：

 User.where(id: {"users.name" => 1}) 
#如果没问题的话，发送的SQL语句应为
SELECT `users`.* FROM `users` WHERE `id`.`users.name` = 1 
#而在未修复此BUG时，会产生这样的SQL语句
SELECT `users`.* FROM `users` WHERE `users`.`name` = 1

weihuilee #7 2012年06月02日

#1 楼 @huobazi 只是 ActiveRecord 的，而且从 3.2.3 以后就修复了

bony #8 2012年06月02日

从来不直接把 params 直接往查询里丢。
一直奉行“宁可费事，不要出事。”

需要登录后方可回复, 如果你还没有账号请注册新账号

共收到 8 条回复

收到新回复，点击立即加载