如comment_controller.rb中所示:
def create
@comment = Comment.new(params[:comment])
@comment.save
end
解决方法
@H_403_9@ 该代码不受sql注入攻击.转义是由ActiveRecord完成的,所以每当你调用模型的查找,创建,新建/保存或任何其他进行数据库交互的方法时,你都可以.唯一的例外是如果您使用原始sql作为其中一个选项,例如:Comment.find(:all,:conditions => "user_id = #{params[:user_id]}")
首选形式是:
Comment.find(:all,:conditions => {:user_id => params[:user_id]})