在我的项目中,在使用Brakeman gem时,提出了以下安全问题:
1)在下面的语句中,引发Unescaped model attribute错误
CashTransaction.find(session[:transaction_id]).customer.address_1
我知道Rails使用基于cookie的会话存储。然而,在Rails 4中,使用cookie是相对安全的,因为您需要Rails secret token来破坏它。
那么,这是假阳性吗?如果没有,我该如何删除此漏洞?
2)其次,我有一个场景,我需要检查一个具有典型属性的记录是否存在。为此,我有以下代码
def check_email
render json: ( is_available('email', params[:user][:email]) )
end
def is_email_available
is_email_taken = is_available('email', params[:user][:email])
render json: !is_email_taken
end
def is_username_available
is_username_taken = is_available('username', params[:user][:username])
render json: !is_username_taken
end
def is_available(type, value)
User.where("#{type}=?", value).exists?
end
并且Brakeman提出以下警告
Possible SQL injection. User.where("#{(local type)}=?", (local value))
如何删除此漏洞,同时使我的代码DRY?
第二部分:
如果type不是用户输入,可以执行
User.where(type.to_sym => value)
如果是用户输入,你应该这样做。
User.where("%s = %s" % [type, "'#{value}'"])