Rails 3.0 及以后版本存在 SQL 注入漏洞
jopen 12年前
<p>Ruby on Rails 报 SQL 注入漏洞 (CVE-2012-2661),版本涉及 3.0 以及以后的版本,所影响的版本包括:</p> <p>影响的版本: 3.0.0 and ALL later versions <br /> 未受影响的版本: 2.3.14 <br /> 已修复的版本: 3.2.4, 3.1.5, 3.0.13</p> <p>例如使用如下的方法会受影响:</p> <p> Post.where(:id => params[:id]).all</p> <p>修复的方法:</p> <p>将下面代码</p> <p> Post.where(:id => params[:id]).all</p> <p>改为</p> <p> Post.where(:id => params[:id].to_s).all</p> <p>目前已有补丁修复该问题,详情请看<a href="/misc/goto?guid=4958342455789731937" target="_blank">这里</a>。</p>