Rubyで安全な文字列リテラルかどうかを判別したい - かみぽわーる

Rails 5.2からRails SQL Injection ExamplesにあるようなSQLインジェクションを防ぐ仕組みが導入されて、Post.order(params[:order])みたいなコードは心温まる正規表現によるチェックをパスしないと危険とみなされるようになって、お前が安全やと思うんやったらPost.order(Arel.sql(params[:order]))しろってことになった(rails/rails#27947)。 これはRails 5.0のときにparamsがHashのサブクラスじゃなくなったときに比べればマシだけど、明らか安全やと思ってるリテラルもRailsに危険とみなされて既存のアプリケーションによったら非常にわずらわしい。たとえばDiscourseというRailsアプリは5.2に上げるときにこれの影響をモロに受けるんやけどっていうお気持ちを表明しています(ra

[kamipo]

blogged

[seiunsky]

一瞬、すわセーフレベルか、と思ったけどちがったw

[tkmkg8m]

interpolatedの判定とかできるのか👀 ARの仕様変更については、そんなコード書くやつが悪いんだからフレームワークでケアせず好きにやらせてくれってのが正直な気持ち。まぁ深遠な理由があるのよね……。

[hshimoyama]

Ruby 側が判定メソッド提供してくれても良さそうな気もする

[koyancya]

副産物として “Ruby 2.5以上で文字列リテラルを判別する方法” が分かる話だった

[a-know]

なるほどおもしろい

[benridane111]

frozenにできる手段がありそうで、今のところ遠慮する。というかぶん投げることはないなぁ。

[june29]

なるほど。