我正面临一个关于rails应用程序的设计问题,我现在正在为我的公司产品开发一个应用程序。我的应用程序允许创建两个类,它们是父类的子类。
class Coupon
include Commonelements
end
class ServiceCenterCoupon < Coupon
end
class DealershipCoupon < Coupon
end
当您转到视图并想要创建新的优惠券时,您可以选择这两种优惠券之一,并根据params:coupon_type创建新的优惠券。
在主计长中:
if params[:coupon_type] == 'dealer
黑客试图通过使用下面的SQL注入查询来获取SQL版本来攻击该站点。
使用URL站点。示例:
www.abc.com/?queryParamString=(SELECT 9701 FROM(SELECT COUNT(*),CONCAT(0x71787a7171,(SELECT (ELT(9701=9701,1))),0x71767a6271,FLOOR(RAND(0)*2))X FROM INFORMATION_SCHEMA.CHARACTER_SETS GROUP BY X)a)
在我的应用程序中,我使用准备好的状态集( queryParamString )作为明文进入DB,没有任何副作用。