Totalmente de acuerdo ... SQL INJECTION te esta golpeando la puerta como trompada ... si esto es lago de uso interno para vos solo y 1 o 2 personas mas les podes llegar a explicar. y/o podes usar un usuario que solo puedea ejecutar selects y como mucho podran obtener data indebida , ahora si una aplicacion online, temo decirte que vas a ser victima de SQL INJECTION como ya se menciono. Lo que podes hacer, si o si tenes que usar este tipo de parametros, es sanitizar la data antes de usarla. Si sabes que solo hay X cantidad de posibilidades ya que muchos campos no debe tener esa tabla podes hacer una funcion que filtre y solo deje pasar esos campos y obviamente no permita espacios y/o '' <> "" , etc ... entonces te podes asegurar que no van a poder injectar codigo. Este tipo de funciones deben ser del tipo "whitelisting" osea que filtras buscando cosas que vos queres, en la otra esta blacklisting que este modo no es recomendable y no deberia ser usado ya que como cambian las sintaxis dia a dia es posible que alguien desarrolle algun tipo nuevo de ataque y seas suceptible porque no lo filtras.
Saludos y espero que te sirva :) On 10/21/07, Emmanuel Oga <[EMAIL PROTECTED]> wrote: > > "el campo que le pasamos se lo elije de un selector asi q no se puede > enviar cualquier valor" > > Estas seguro? Mejor agrega algo asi: > > if Tabla.column_names.include? params["campo"] > ... > else > flash[:notice]= "Por favor, no me hackees. Gracias" > redirect_to :back > end > > > > *"-:Nacho:-" <[EMAIL PROTECTED]>* escribió: > > lo pude solucionar de esa forma pero sin usar ".to_sym" ya que me daba > error > el campo que le pasamos se lo elije de un selector asi q no se puede > enviar cualquier valor. > > Gracias por la respuesta! > _______________________________________________ > Ruby mailing list > [email protected] > http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar > > > ------------------------------ > > Seguí de cerca a la Selección Argentina de Rugby > en el Mundial de Francia 2007. > http://ar.sports.yahoo.com/mundialderugby > > > _______________________________________________ > Ruby mailing list > [email protected] > http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar > > -- -- --<自由編碼人>-- Ing. Matias Pablo Brutti Security Consultant Email : [EMAIL PROTECTED] Site: http://www.freedomcoder.com.ar
_______________________________________________ Ruby mailing list [email protected] http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar
