安科网

Rails 再爆 SQL 注入漏洞

jackyzhuyuanlu

jackyzhuyuanlu

2012-06-13

关注 关注

上个月 Rails 爆出 SQL 注入漏洞 (CVE-2012-2661),版本涉及 3.0 以及以后的版本,而今天又新发现一个 SQL 注入漏洞 CVE-2012-2695,该漏洞影响所有版本的 Rails ,已经修复的版本是 3.2.6, 3.1.6, 3.0.14

使用如下代码会导致此漏洞:

Post.where(:id => params[:id]).all

可以改为:

Post.where(:id => params[:id].to_s).all

此漏洞详情请看 http://seclists.org/oss-sec/2012/q2/504

更多关于Rails的详细信息,或者下载地址请点这里

rails sql注入 注入漏洞 漏洞

jackyzhuyuanlu

jackyzhuyuanlu

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

专攻难题:Rails、MVC及最常用的Rails命令

在使用Ruby编写web应用程序时,创始人David HeinemeierHansson说,他只不过是将以往应用程序的通用部分复制粘贴到新程序中。使用Rails可以专注解决困难部分,消减重复性工作。Rails命令十分神奇,但我们必须了解每个命令的功能和编写

wl00 2020-10-28

Rails 使用云片和 China sms 发送验证信息

rails 6,云片,china_sms,需要实现短信验证和语音验证。gem ‘china_sms‘, github: ‘saberma/china_sms‘, branch: ‘master‘。我们需要个模型来存储验证码、手机号、验证次数等等信息,模型如

EricNet 2020-07-05

Rails 返回 json

在写代码过程中,经常用到 ajax,那么我们也可能会返回 json 数据:。# 刷新通过 ajax 调用方法的当前页面

mrice00 2020-07-05

Ruby on Rails 单元测试

软件开发中,一个重要的环节就是编写测试文件,对代码进行单元测试,确保程序各部分功能执行正确。但是,这一环节很容易被我们轻视,认为进行单元测试的必要性不大,最主要的一个原因是需要耗费大量时间。显然,这种观点是很浅显的,Michael Hartl 在他的《Ru

EricNet 2020-05-27

ubuntu 16.04 i386 安装 ruby + bundler + rails ; 搭建简单的网站bitbar

sudo apt-get install git-core zlib1g-dev build-essential libssl-dev libreadline-dev libyaml-dev libsqlite3-dev sqlite3 libxml2-d

何志文 2020-05-11

Redmine4.x安装及使用心得分享

Redmine是基于ruby语言的开源版的 jira +?Confluence,主要适用于中小团队。目前因内部需要做问题跟踪,新装了一套,这里记录下安装步骤。关于是否使用官方推荐的第三方一键部署:个人不建议使用,一键部署无法自定义目录规划,且一键安装的程序

JOO 2020-04-26

centos7安装gitlab

安装 yum install -y curl policycoreutils openssh-server openssh-clients postfix systemctl start postfix. gitlab_rails[‘smtp_passwo

happyfreeangel 2020-04-09

Docker-compose部署gitlab中文版

安装 docker并设置加速器。#添加软件源信息。#如果上步操作报错,内容如下:。#开启并查看Docker服务。#重置docker后台进程并重启docker服务。#下载Docker-compose二进制文件。#创建 gitlab 的 docker-comp

Poisedflw 2020-03-23

Docker部署GitLab

自行搜索如何安装docker,尽量按照较新版本的docker. # 打开挂载的配置目录。# 添加外部请求的域名。# 修改gitlab对应的时区。--publish 暴露了容器的三个端口, 分别是https对应的443, http对应80以及ssh对应的22

yangliuhbhd 2020-03-06

rails devise gem使用

最近一直在学习rails,学习了有大约一个月的时间了,前段时间看GEM的使用教程总是很费劲,最近自己静下心来,专心学习了一下GEM的使用,下面就介绍一下devise这个gem的使用。

Ben的程序员生涯 2013-06-01

rails常用命令

数据库迁移部分:。rake db:create 依照目前的 RAILS_ENV 環境建立資料庫。rake db:rollback STEP=n 回復上N個 Migration 動作。rake db:migrate:up VERSION=2008090612

chenshuixian 2013-06-01

upload file with carrierwave in rails

1.gem carrierwave

AllenYoung 2014-07-04

Rails 4.1.1问题记录

execjs跟Win8有点兼容性的问题。execjs 现在默认使用Windows自带的CScript,但是Win8下CScript 默认接受js编码是UTF-8, 而之前的CScript接受的是ASCII/GBK, 或者用//U参数后接受UTF-8,解决方

wes0 2014-05-31

gitlab配置邮箱服务

当需要进行 账号注册,创建项目,或合并分支等操作时,可通过邮件通知、邮件验证的方式实现。gitlab_rails['gitlab_email_from'] = '发件箱名.163.com'. DOCTYPE html PUBLIC "-//W3C

mrice00 2019-12-20

Gitlab(Docker)中批量添加用户及邮件配置

gitlab页面可以添加用户,但是无法批量添加。在User Setting--Access Tokens中添加token:. 由于gitlab的容器镜像未安装sendmail,所以需要安装后才能发送邮件Dockerfile如下:。gitlab_rails[

EricNet 2019-12-11

RubyMine 2019汉化版 JetBrains集成开发工具2019.3.1 MacOS

JetBrAIns RubyMine 2019 for Mac能更好地理解和导航项目和RAIls的代码库,并且改进编辑和Code Insight功能,主要包括定义,查找用法,代码完成,以及其他操作的准确性和速度。得益于对Ruby和RAIls,JavaScr

89304896 2019-12-08

Ubuntu上rvm + rails安装

sudo apt-get install build-essential openssl libreadline6 libreadline6-dev curl git-core zlib1g zlib1g-dev libssl-dev libyaml-de

lihaoningxia 2013-07-09

Rails test

ruby on rails. ruby off rails

jizhename 2013-09-03

ubuntu14.10 rails env

sudo apt-get install virtualbox-guest-dkms. sudo apt-get install curl. \curl -sSL https://get.rvm.io | bash. sudo apt-get instal

userguanguan 2015-03-16

Ubuntu 10.04 下Rails环境构建

sudo apt-get install ruby build-essential libopenssl-ruby ruby1.8-dev irb rdoc libssl-dev libreadline5-dev zlib1g-dev. 拷贝文件:sudo

Ben的程序员生涯 2010-07-22
jackyzhuyuanlu

jackyzhuyuanlu

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号