「RailsによるアジャイルWebアプリケーション開発」26章読了 - ITコンサルの日常SQLインジェクション 定義済みメソッド(findなど)やバインド変数を使っていれば問題ないというお話しです。 試しに問題となるコードと、簡単な攻撃を行ってみたいと思います。 まずはコントローラ。 app/controllers/products_controller.rb def sql_injection unless params[:title].blank? @products = Product.find(:all, :conditions => "title = '#{params[:title]}'") else @products = [] end end パラメータのtitleが、データベースのtitle列と一致する行を取得するコントローラです。 次にビュー。 app/views/products/sql_injection.html.erb <% form_tag :a
