Rails SQL инъекция?

Question

В Rails, когда я хочу найти заданное пользователем значение и избежать внедрения SQL (экранирование апострофов и т.

Post.all(:conditions => ['title = ?', params[:title]])

Я знаю, что небезопасный способ сделать это (возможное внедрение SQL) заключается в следующем:

Post.all(:conditions => "title = #{params[:title]}")

Мой вопрос: предотвращает ли SQL-инъекция следующий метод или нет?

Post.all(:conditions => {:title => params[:title]})

Answer 1

Да, это так. Только второй опасен.

Answer 2

Один хорошая ссылка из Руководства RoR.

Answer 3

+ 1 @fphilipe и @yuval Проверьте это 5-минутное видео из railscast и это из направляющих рельсов