国语自产偷拍精品视频偷,Aa无码人妻一区二区三区,国产成人av在线免播放观看更新,中文字幕无码热视频

      2. <b id="mejel"></b>
      <i id="mejel"></i>
        

        2. <progress id="mejel"><button id="mejel"></button></progress>

        <table id="mejel"></table>
      2. 




        
  
        
    
    
  
        

        


        
  

        
  
  
        
    
        
      
        
        
      
        
      
      
        
        
        監(jiān)理、測試及咨詢服務(wù)
        
        
        0512-62620800-1
        
      
        
      
        
        
        評(píng)估測試服務(wù)(登記測試)
        
        
        0512-62620800-737
        
      
        
      
        
        
        IT綜合服務(wù)
        
        
        0512-62620800-701
        
      
        
    
        
  
        

        
  
        
    
    
        
      
        Rails 爆 SQL 注入漏洞,3.x 所有版本受影響
        
      
        發(fā)布時(shí)間:2012.06.13
        
      
        
        Ruby on Rails近日爆出了一個(gè)關(guān)鍵的漏洞,該漏洞允許攻擊者在數(shù)據(jù)庫服務(wù)器上執(zhí)行SQL命令,比如,攻擊者可以發(fā)起SQL注入攻擊來讀取未經(jīng)授權(quán)的機(jī)密信息。目前該漏洞已修復(fù),可通過文章最后的鏈接下載修復(fù)版本。 
        這是由于ActiveRecord處理嵌套查詢參數(shù)的方式所致,攻擊者可以使用特定的請(qǐng)求,向應(yīng)用程序的SQL查詢中注入某些形式的SQL語句。 

        比如,受影響的代碼可以直接傳遞請(qǐng)求參數(shù)到ActiveRecord類中的where方法,如下: 
        Ruby代碼 
        1. Post.where(:id => params[:id]).all   

        攻擊者可以發(fā)起一個(gè)請(qǐng)求,導(dǎo)致params[:id]返回一個(gè)特定的哈希值,從而使WHERE從句可以查詢?nèi)我鈹?shù)據(jù)表。 

        受影響的版本:3.0.0及之后的所有版本 

        未受影響的版本:2.3.14 

        修復(fù)版本下載