Rails5.1.3でWebアプリケーションの勉強をしながら、実際に公開することを目指して制作しています。
セキュリティーについてよくわからないのですがSQLインジェクション、セッションハイジャック、セッション固定化についての
質問です。
1,SQLインジェクションについて
whereメソッドで検索を行うときは、変数を直接打ち込んではいけませんと参考書に書いてありました。
以下のような記述はSQLインジェクション対策上、大丈夫なものでしょうか?
@unsub = Register.where("rg_#{@month}": "退会").pluck(:customer_id) @mysponsor = Customer.where(sponsor1: mynickname)
2,セッションハイジャックについて
ただ単に#を外すだけでいいのでしょうか?
外すことにより表示とか、動作とかに影響はないのでしょうか?
config/environments/production.rb config force_ssl = true ---------------------#を外す。
3,セッション固定化
controllerのはじめに「reset_session]という一行を打ち込むとありました。
全てのコントローラに打ち込むとして、表示とか、動作とかに影響はないのでしょうか?
class Customer::AccountsController < Customer::Base reset_session -----------------------------この一行を打ち込む。 def show @acc_name = @customer.family_name + ' ' + @customer.given_name @acc_name_kana = @customer.family_name_kana + ' ' + @customer.given_name_kana end
どなたか教えていただけないでしょうか?宜しくお願いします。
回答3件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2018/01/10 21:59
2018/01/11 02:24
2018/01/11 13:42