这是从sql注入安全的代码吗?Rails作用域和sql注入
scope :by_file_name, proc { |file_name| where("source_file ilike '%#{file_name}%'") }
这是从sql注入安全的代码吗?Rails作用域和sql注入
scope :by_file_name, proc { |file_name| where("source_file ilike '%#{file_name}%'") }
这是安全参数传递的最好办法从sql注入是
scope :by_file_name, proc { |file_name| where("source_file ilike ?", "%#{file_name}%") }
号
它应该是:
scope :by_file_name, proc { |file_name| where("source_file ilike ?", file_name) }
不,你应该做这样的范围:
scope :by_file_name, proc { |file_name| where("source_file ilike '%?%'", file_name) }
该代码返回语法错误。 –
这一个不正是我的版本。它不搜索正确的记录。 –