成品短视频app下载有哪些电影,情侣房交椅使用方法图片,我的媚骨妈妈林轩最火的一句,边吃饭边狂躁怎么办

        • <rp id="x6vpn"></rp>
      <wbr id="x6vpn"></wbr>
    2. <b id="x6vpn"></b>

      7. <table id="x6vpn"><acronym id="x6vpn"></acronym></table>
    7. <source id="x6vpn"><track id="x6vpn"></track></source> 
      <b id="x6vpn"></b>
      <b id="x6vpn"></b><source id="x6vpn"><menu id="x6vpn"></menu></source>
      




      
  
      
    
    
  
      

      


      
  

      
  
  
      
    
      
      
      
        
      
      
      
      
      
        
      監(jiān)理、測(cè)試及咨詢服務(wù)
      
        
      0512-62620800-1
      
      
      
      
      
        
      評(píng)估測(cè)試服務(wù)(登記測(cè)試)
      
        
      0512-62620800-737
      
      
      
      
      
        
      IT綜合服務(wù)
      
        
      0512-62620800-701
      
      
      
    
      
  
      

      
  
      
    
    
      
      
      Rails 爆 SQL 注入漏洞,3.x 所有版本受影響
      
      
      發(fā)布時(shí)間:2012.06.13
      
      
      
        Ruby on Rails近日爆出了一個(gè)關(guān)鍵的漏洞,該漏洞允許攻擊者在數(shù)據(jù)庫(kù)服務(wù)器上執(zhí)行SQL命令,比如,攻擊者可以發(fā)起SQL注入攻擊來(lái)讀取未經(jīng)授權(quán)的機(jī)密信息。目前該漏洞已修復(fù),可通過(guò)文章最后的鏈接下載修復(fù)版本。 
      這是由于ActiveRecord處理嵌套查詢參數(shù)的方式所致,攻擊者可以使用特定的請(qǐng)求,向應(yīng)用程序的SQL查詢中注入某些形式的SQL語(yǔ)句。 

      比如,受影響的代碼可以直接傳遞請(qǐng)求參數(shù)到ActiveRecord類中的where方法,如下: 
      Ruby代碼 
      1. Post.where(:id => params[:id]).all   

      攻擊者可以發(fā)起一個(gè)請(qǐng)求,導(dǎo)致params[:id]返回一個(gè)特定的哈希值,從而使WHERE從句可以查詢?nèi)我鈹?shù)據(jù)表。 

      受影響的版本:3.0.0及之后的所有版本 

      未受影響的版本:2.3.14 

      修復(fù)版本下載