Ruby on RailsでSQLを使う時に内容を隠す方法がわからない

SQLを直接Ruby on rails ベースのアプリケーションで活用したい場合、どのように使用すれば、セキュリティ上SQLの中身がわからないで済むでしょうか？

それに関連して、railsでprivateを使って、パラメーターを隠す操作をすることがあるのは知っています。ただ、理解不足のために、全部のコードをprivateで隠せばいいのではないかと考えたりするのです。

以下の二点を質問させてください。

・sqlの原文（そこそこ複雑なものを予定しており、関数F(x)の値域xを関数によって求めます。例えば、F（g(x)）のように）をセキュリティ上隠すためにはどのようにコーディングすればいいか？

・privateを活用して出来ると予想するが、原理が理解できておらず、例えば、すべてのコードをprivateにしないのはなぜか？するものとしないコードの違いは何か？

行動規範の内容に同意します

回答1件

ベストアンサー

SQLを隠したいとのことですが、セキュリティで言えば、ソースにアクセスできる権限を持っていれば Ruby では隠すことはできないです。コンパイルで難読化できる言語から呼び出すようにしたほうがいいかもしれません。
外からの利用ユーザーから隠すのであれば、SQL文やソース自体を出力しなければ見えることはないです。(出力結果から推測されることはあり得ます。)

privateはセキュリティ上は役に立たないでしょう。Rubyのprivateの意味はJAVAのような隠蔽とは違って外部から使わないでと宣言するもので、公開したいかしたくないかを区別するときに使われるかと思います。

投稿2016/04/29 16:34