在
Ruby on Rails中,对于条件,很容易进行防sql注入查询:
:conditions => ["title = ?",title]
标题来自外部,从Web表单或类似的东西.
:select => "\"#{title}\" AS title" # I do have something like this in one instance :joins => ["LEFT JOIN blah AS blah2 ON blah2.title = \"#{title}\""]
有没有办法妥善逃脱这些字符串?
解决方法
通常在Rails中,连接作为代表id连接的符号(或作为二阶连接的散列)完成,您可以使用条件将其过滤.如果需要这样做,可以使用ActiveRecord的
sanitize_sql_array
来清理sql字符串,如下所示:
sanitize_sql_array(["LEFT JOIN blah AS blah2 ON blah2.title = ?",@blah.title])
原文地址:https://www.jb51.cc/ruby/271900.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。