我的user_ransaker.rb文件中有以下代码:
ransacker :new_donors do
sql = %{(
users.id IN (
#{User.new_donor_sql}
)
)}
Arel.sql(sql)
end
关于user.rb模型:
def self.new_donor_sql
part_1 = %{(
SELECT distinct(user_id)
FROM donations
}
part_1
end
对于上述声明,我收到以下Brakeman警告:
Confidence: High
Category: SQL Injection
Check: SQL
Message: Possible SQL injection
Code: Arel.sql("(n users.id IN (n #{User.new_donor_sql}n)n)")
File: app/models/concerns/user_ransackers.rb
这是一个有效的错误吗?如果我使用ActiveRecord编写SQL语句,那么如果需要插入值,我可以使用?占位符。我真的不知道如何修复这个警告。如果这是一个有效的警告,我该如何补救?
如果你要Arel,那么做一些关系代数:
class User < ApplicationRecord
def self.new_donor_sql
arel_table.project(arel_table[:user_id]).distinct
end
end
ransacker :new_donors do
User.arel_table.then do |users|
users.where(users[:id].in(User.new_donor_sql)).where_sql
end
end
您也可以直接删除类方法:
ransacker :new_donors do
User.arel_table.then do |users|
subquery = users.project(users[:user_id]).distinct
users.where(users[:id].in(subquery)).where_sql
end
end