问Rails 5 SQL注入

EN

我已经在不同的线程，指南等上读了一段时间了。但所有的答案都是相互矛盾和矛盾的。

似乎有很多类似的方法，很多答案都说要用不同的方法。

• sanitize
• sanitize_conditions
• sanitize_sql
• sanitize_sql_array
• sanitize_sql_for_assignment
• sanitize_sql_for_conditions
• sanitize_sql_hash
• sanitize_sql_hash_for_assignment
• sanitize_sql_hash_for_conditions
• sanitize_sql_like

我试图编写一个“原始查询”适配器，它允许我运行原始Postgres查询，但允许我插入来自危险用户输入的参数。

我不能在这几个例子中使用AR，因为我正在做复杂的lat/long计算、聚合函数、复杂的子查询等等。

到目前为止，我已经尝试了两种方法：

方法1

对于这种方法，我不知道sanitize是否是上述方法中的最佳选择，或者它是否在100%的情况下有效。(我只使用Postgres )

class RawQuery

  def exec(prepared, *params)
    prepared = query.dup
    params.flatten.each_with_index do |p, i|
      prepared.gsub!("$#{i + 1}", ActiveRecord::Base.sanitize(p))
    end
    ActiveRecord::Base.connection.exec_query(prepared)
  end

end

简单的用法示例(通常不会这么简单，或者我只使用AR)：

RawQuery.new.exec('SELECT * FROM users WHERE name = $1', params[:name])

此外，sanitize似乎将委托给quote。但根据this SO post的说法，简单地用单引号包装东西是不安全的.所以我不知道。

方法2

我不确定这是否同样安全，但它似乎使用了一个实际的PG准备函数(我认为它是100%安全的)。唯一的问题是rails没有将其打印到控制台，也不包括SQL执行时间(这破坏了我的分析工具)。

class RawQuery

  def prepare(query, *params)
    name = "raw_query_#{SecureRandom.uuid.gsub('-', '')}"
    connection = ActiveRecord::Base.connection.raw_connection
    connection.prepare(name, query)
    connection.exec_prepared(name, params)
  end

end

用同样的方式：

RawQuery.new.prepare('SELECT * FROM users WHERE name = $1', params[:name])

一种方法比另一种更安全吗？都是100%的安全吗？

我的应用程序总是远远超出Rails的SQL能力，我需要一个很好的库，我可以把它包含在我所有的项目中，我知道这是完全安全的。