今天早上发布的新版本就是修复这个漏洞的吧

不是前几天刚报过一个注入漏洞

http://news.ycombinator.com/item?id=4104259 好像是个问题。。

恩，竟然还有这样的问题啊，这样的话在 controller 里面写 slice 都不顶用了。。。

再这么折腾下去都要赶上 PHP 了。

这是个啥漏洞捏 一堆 E 文 看不明白 前几天刚升级了 就是那个 rails 注入漏洞

#6 楼 @shooter 看 http://seclists.org/oss-sec/2012/q2/att-504/3-2-sql-injection.patch 这个补丁里的测试，我的理解是：

Post.where(:id => { :posts => {:author_id => 10} }).first

生成的 SQL 语句会是

SELECT "posts".* FROM "posts" where "posts"."author_id" =10 LIMIT 1

这样改变了 Post.where(:id => params[:id]) 这个根据 id 查 Post 的逻辑，被改成了根据 author_id 查 Post 了。