Bin ein Sicherheits-Enthusiast und insgesamt Noob RoR. Jetzt gibt es diesen Blog, auf den ich in Bezug auf SQL-Injektionen in RoR mit Active Records stieß.dynamische attributbasierte Finder im aktiven Datensatz 3.2.10
jedoch das Blog selbst zu Jan stammt aus 2013. Trotzdem habe ich versucht, die SQLi in einer Testumgebung mit Rails 4.2 und 4.2 Active zu replizieren.
Ich habe versucht, mit:
User.find_by_name("kotori", :select => "id, name")
aus dem Blog oben, aber ich erhielt die folgende Fehlermeldung:
ArgumentError: wrong number of arguments (2 for 1)
Denkprozess: Da das Blog ziemlich alt ist, kann es ein veraltetes Feature gemäß meiner Testeinrichtung. Jetzt war der Blog vom 13. Januar, also nahm ich den aktiven Rekord Build von Dezember 2012 von here dachte, dass das Code-Snippet oben wird definitiv funktionieren zumindest in dieser Version, aber der Fehler war der gleiche. Darüber hinaus habe ich auch versucht, die Dokumentation der gleichen here durchzugehen, aber dies gibt auch keinen Einblick in das betreffende Code-Snippet.
Nun, was fehlt mir hier? Ist der oben erwähnte Blog selbst nicht vertrauenswürdig oder ist er wirklich dumm?
Der oben erwähnte Blog sagt, dass es möglich ist, etwas in der Form zu tun: User.find_by_name ("kotori",: select => "id, name") Interpretiere ich es falsch? – qre0ct