Zen Rails安全清单
概要
本文档提供了开发Ruby on Rails应用程序时要实施的安全措施的不一定全面的列表。 它旨在用作快速参考,并最大程度地减少开发人员健忘造成的漏洞。 它并不能替代开发人员有关安全编码原则以及如何应用它们的培训。
描述每个安全漏洞的工作方式不在本文档的范围之内。 在清单的相应部分中提供了指向包含更多信息的外部资源的链接。 请仅应用您完全理解的建议。
请记住,安全是一个不断发展的目标。 每天都会发现新的漏洞和攻击媒介。 例如,我们建议您订阅与您使用的软件和库相关的安全邮件列表,以尝试保持最新状态。
该清单旨在成为社区驱动的资源。 欢迎您的!
免责声明:本文档未涵盖所有可能的安全漏洞。 作者对本文信息的准确性或完整性不承担任何法律责任。
支持的Rails版本
本文档重点介绍Rails 4和5。不包括早期版本中存在并在Rails 4中修复的漏洞。
目录
生成的。
清单
注射
注入攻击排名第一。
不要使用标准的Ruby插值( #{foo} )将用户输入的字符串插入ActiveRecord或原始SQL查询中。 使用? 字符,命名的绑定变量或来清理数据库
1