[Ror-es] named_scoped para crear un filtro mediante queryStrings de forma segura
Andrés gutiérrez
andresgutgon at gmail.com
Sun Mar 7 21:01:57 GMT 2010
Gracias Miguel. He buscado un poco y parece que lo hago bien [1] .
Si me equivoco. O no es del todo correcto estare muy agradecido de alguien
me cuente una forma mejor
Un saludo,
Andrés
[1] http://guides.rubyonrails.org/security.html#sql-injection
El 7 de marzo de 2010 21:33, Miguel Michelsongs
<miguelmichelson at gmail.com>escribió:
> Hola Andrés ,
>
> me parece que esto :
>
>
> :conditions => ['profiles.job_category = ?', job_category_filter]
>
> es la forma segura de manejar los parametros de entrada por lo que se ve
> bien.
>
> ahora tendremos que ver que te dicen los gurús de la lista
>
> saludos
>
> Atte.
> Miguel Michelson Martinez
> ..............................................
> www.artenlinea.com
>
>
> 2010/3/7 Andrés gutiérrez <andresgutgon at gmail.com>
>
>> Hola, he creado un named_scoped en mi model User para filtrar los
>> usuarios segun su trabajo:
>>
>> MODELO:
>> named_scope :filter_by_job_category, lambda { |job_category_filter|{
>> :joins => :profile,
>> :conditions => ['profiles.job_category = ?', job_category_filter]
>> }
>> }
>>
>> En mi controlador recojo un QueryString que le paso desde la vista. Ej.:
>> http://my-site/users?filter=research_prof
>>
>> CONTROLADOR:
>> @users = params[:filter] ? User.filter_by_job_category(params[:filter]) :
>> User.find(:all)
>>
>> VISTA:
>> <%= link_to "Profesor Asociado", users_path(:filter => "research_prof") %>
>>
>> Mi duda es si lo que hago es SEGURO o me pueden injectar SQL a traves del
>> QueryString....o algo así.
>> La verdad es que estoy contento por haver sabido hacerlo solito :)
>> Pero igual es una mala idea.
>>
>>
>> _______________________________________________
>> Proudly free of Ruby Forum crossposting since 01/07/2009
>> Ror-es mailing list
>> Ror-es at lists.simplelogica.net
>> http://lists.simplelogica.net/mailman/listinfo/ror-es
>>
>>
>
> _______________________________________________
> Proudly free of Ruby Forum crossposting since 01/07/2009
> Ror-es mailing list
> Ror-es at lists.simplelogica.net
> http://lists.simplelogica.net/mailman/listinfo/ror-es
>
>
--
Experiencia es lo que obtienes, cuando no obtienes lo que quieres.
-----------------------------------------------------------------------------
"Caminar sobre el agua y desarrollar software a partir de unas
especificaciones es fácil. si ambas están congeladas."
Edward V. Berard, ingeniero informático.
-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.simplelogica.net/pipermail/ror-es/attachments/20100307/c0b592b1/attachment.htm
More information about the Ror-es
mailing list