Para empezar http://www.google.com/search?sourceid=chrome&ie=UTF-8&q=sql+injections+in+rails
http://www.rorsecurity.info <-- muy buen sitio aunque hasa donde recuerdo no si es v3 aware. pero sirve igual http://www.rorsecurity.info/the-book <-- libro sobre un poco de todo lo que habla el sitio. Slds. 2010/2/22 Rafael Bidegain <[email protected]>: > El día 22 de febrero de 2010 17:03, Ricardo Markiewicz > <[email protected]> escribió: >> 2010/2/22 Nestor Rodriguez <[email protected]>: >>> Hola gente, como andan, aqui peleandome con el array, estoy tratando de >>> hacer un sistema de cuentas corrientes y estoy con eso del DEBITO Y EL >>> CREDITO, así que necesito mostrar el ESTADO DE CUENTAS de un cliente, por lo >>> tanto en el CONTROLADOR escribo esto: >>> >>> @clientes_movimientos = ClienteMovimiento.find_by_sql("Select >>> clientes_movimientos.* " + >>> "from clientes_movimientos, solicitudes, clientes " + >>> "where clientes_movimientos.solicitud_id = solicitudes.id >>> and " + >>> " solicitudes.cliente_id = clientes.id and " + >>> " clientes.id = #{params[:id]}") >>> AQUÍ NO ESTA EL PROBLEMA, el problema es que en el array que me genera, >> >> Hola, aca tenés un problemón, estás dejando un sql injection re lindo >> al mundo :). > heee, yo no se nada sobre sql injection. > > ¿cual es el problema? ¿como se puede comprobar el problema? y por > último ¿como se evita? > > je, te maté a preguntas. si es muy largo te podrías dar una charlita :) > > > saludos > -- > Rafael Bidegain > > Ya que los cuerdos no hablan, hablará el loco. > (The Fool, Padraic Pearse) > > # divertite programando > # http://rubytutorial.wikidot.com/introduccion > _______________________________________________ > Ruby mailing list > [email protected] > http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar > -- -- --<自由編碼人>-- B.Sc. Matias Pablo Brutti Senior Security Consultant Email : [email protected] Site: http://www.freedomcoder.com.ar _______________________________________________ Ruby mailing list [email protected] http://lista.rubyargentina.com.ar/listinfo.cgi/ruby-rubyargentina.com.ar
