1

私は Rails プロジェクトに取り組んでおり、デバッグ用のツールとして Brakeman を使用しています。テーブルからデータを取得するためにクエリを使用しましたが、Brakeman のテスト中に、クエリに Sql Injection Possibility があることが示されています。

これが私のクエリです:

Applicant.all.where("profile_id=#{current_user.profile.id}").first

しかし、このクエリの何が問題なのかわかりません。セキュリティで保護されていない場合、SQL インジェクションを防ぐにはどうすればよいですか?

4

2 に答える 2

0

あなたが探しているものは次のとおりだと思います:

Applicant.find_by(profile_id: current_user.profile.id)

このコードを読むと、何をしているのかが理解しやすくなります。

于 2016-11-23T08:32:23.520 に答える