在Rails中,当我想通过一个用户给定值找到并避免SQL注入(逃避撇号等),我可以做这样的事情:Rails SQL注入?
Post.all(:conditions => ['title = ?', params[:title]])
我知道,这样做都是不安全的(可能的SQL注入)是这样的:
Post.all(:conditions => "title = #{params[:title]}")
我的问题是,下列方法是否阻止SQL注入?
Post.all(:conditions => {:title => params[:title]})
感谢您的直接回复。 – 2010-06-02 23:48:09