Comments 6
Ох, не боги горшки обжигают… Так проколоться и не проверить входные данные перед тем как сформировать из них просто кусочек SQL-я, а ведь даже в примерах в документации Rails для начинающих Rails Guides видно, что это просто фрагмент SQL: http://guides.rubyonrails.org/active_record_querying.html#ordering
- 2017
- Rails version 3.2.22.4
- печаль =(
если что, то рельсы 3-й версии уже не получают security patches даже для severe security issues
Насколько я знаю, они не на ванильных рельсах, у них своя сборка.
За всё время написали столько кода и сделали настолько большие приложения, что некоторые до сих пор с 2.3 обновиться не могут. Специально для них даже есть платная Rails LTS, которая получает патчи. И, видимо, есть немало компаний, которые считают, что платить за поддержку старых версий рельсы выгоднее, чем обновляться.
SQL инъекция в GitHub Enterprise