ruby-on-rails – 安全地转义字符串用于SQL片段,用于连接,限制,选择等(而不是条件)在Rails上

前端之家收集整理的这篇文章主要介绍了ruby-on-rails – 安全地转义字符串用于SQL片段,用于连接,限制,选择等(而不是条件)在Rails上前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
Ruby on Rails中,对于条件,很容易进行防sql注入查询
:conditions => ["title = ?",title]

标题来自外部,从Web表单或类似的东西.

但是如果您在查询的其他部分使用sql片段,如下所示:

:select => "\"#{title}\" AS title"   # I do have something like this in one instance
:joins => ["LEFT JOIN blah AS blah2 ON blah2.title = \"#{title}\""]

有没有办法妥善逃脱这些字符串?

解决方法

通常在Rails中,连接作为代表id连接的符号(或作为二阶连接的散列)完成,您可以使用条件将其过滤.如果需要这样做,可以使用ActiveRecord的 sanitize_sql_array来清理sql字符串,如下所示:
sanitize_sql_array(["LEFT JOIN blah AS blah2 ON blah2.title = ?",@blah.title])

猜你在找的Ruby相关文章