LoginSignup
0
1

More than 5 years have passed since last update.

@triple4649

RoR SQLインジェクションについて

Posted at

始めに

Sequelを使ったクエリ発行でSQLインジェクションが発生しないか確認してみました

環境

Jruby 9.12
Oracle12C
Rails 4.2.9

確認したこと

入力文字列

正しくエスケープ処理されないとSQLインジェクションが起こる文字列をブラウザで入力し、サーバー側に送り込んでみる

image.png

発行されたSQLをV$SQLから取得する

image.png

V$SQLで発行されたSQLを確認すると、" ' "がエスケープされていて、ブラウザからの入力が文字列として扱われている

終わりに

Rails側かSequel側のどちらかは分かりませんが、SQL発行時に埋め込み文字列に対してエスケープ処理はなされているみたいです
なので、安心して、今後積極的に生SQLを使っていきます

0
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
1