BrakemanでSQL Injectionを解決する

前提・実現したいこと

　Brakemanを導入しており、警告が出るので、それを出ないようにしたいです。
ignoreすることで解消することは分かっているのですが、それ以外に方法はありますでしょうか？

発生している問題・エラーメッセージ

== Warnings ==

Confidence: Medium
Category: SQL Injection
Check: SQL
Message: Possible SQL injection
Code: connection.delete("/api/v2/users/#{user_id}")
File: app/models/hoge.rb
Line: 29

該当のソースコード

def delete_user(user_id)
  connection = Faraday::Connection.new("https://example.com")
  connection.delete "/api/v2/users/#{user_id}"
end

行動規範の内容に同意します

回答1件

ベストアンサー

Check: SQL
Message: Possible SQL injection
Code: connection.delete("/api/v2/users/#{user_id}")

誤検知ですね。
たまたま「ActiveRecord::Base.connectionというメソッドがあり、それに対してdeleteというメソッドを用いる事でsqlを実行できる。」
というActiceRecordの仕様があったため、そちらを使っていると誤認識されています。

変数名をconnection以外に変えるとよいと思います。faradayとかconnとか

投稿2021/06/17 09:56

asm

総合スコア15147

puuumipon

2021/06/17 09:59

全然気づきませんでした！！なんでSQL Injection？と思っていたので、納得しました！確かに変数名を変えたらいけました！ありがとうございます！

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.48%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう！