Question

Я пытаюсь отсортировать некоторые записи в рельсах, и я передаю что-то вроде created_at DESC в качестве параметра, и мне было интересно - правильно ли выполняется ActiveRecord для SQL или это плохой способ сделать это? Я попытался заменить на ?, как я обычно делаю со строками, но, хотя я мог заставить его работать в SQLite, PG выдал ошибку.

Вот то, что я делаю, это работает - но интересно, безопасно ли это?

if params[:by]
      @photos = Photo.find(:all, :order => params[:by])      
    else
      ...

Thong Kuah · Answer 1 · 11 января 2012

Если вы используете интерфейс запросов Active Record, как вы делали выше, Rails выполнит санацию SQL.Смотри http://guides.rubyonrails.org/active_record_querying.html

Защита от внедрения SQL в Rails

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Защита от внедрения SQL в Rails

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов