動かざることバグの如し

近づきたいよ君の理想に

Railsで生SQL実行時にプレースホルダー付けてSQLインジェクション対策

rails

環境

Rails 5

やりたいこと

RailsでActiveRecordの生成するSQLではなく、生SQL実行したいときは以下のようにしてできる。

ActiveRecord::Base.connection.execute("select count(1) from users where date = '2018-10-20'")

が、プレースホルダー機能を使おうとするとエラーになる。

# not work
ActiveRecord::Base.connection.execute("select count(1) from users where date = ?", "2018-10-20")

実はActiveRecord::Base.connection.executeではプレースホルダーによるエスケープは使えない。残念。。。

なんとかしてエスケープする

ActiveRecordのsanitize_sql_arrayを使う例えば以下のような感じ

sql = ["select count(1) from users where date = ?", "2018-10-20"]
sanitized_sql = ActiveRecord::Base.send(:sanitize_sql_array, sql)
ActiveRecord::Base.connection.execute(sanitized_sql)

これでめでたくSQLインジェクション対策ができる　やったね

他の方法

Rails(ActiveRecord)にて生SQLでDELETE(プレースホルダ付き)する - 料理とソフトウェアは似ている