Я работаю над проектом Rails и использую Brakeman в качестве инструмента для отладки. Я использовал запрос для получения данных из таблицы, но во время теста Brakeman это указывает на возможность Sql Injection в запросе.Невозможно предотвратить запрос из SQL Injection in Rails
Вот мой запрос:
Applicant.all.where("profile_id=#{current_user.profile.id}").first
Но я не знаю, что это проблема с этим запросом, если он не защищен, то как я могу предотвратить его от инъекции SQL?
Вы отметили MySQL и SQL Server, какой из них? –
Попробуйте этот Applicant.where ('profile_id =?', Current_user.profile.id) .first OR Applicant.where (profile_id: current_user.profile.id) .first –
Проверьте это: http://guides.rubyonrails.org/ active_record_querying.html # pure-string-conditions –