SQL 注入 Rails
SQL Injection in Rails
我在 Rails 中读到了一些关于 SQL 注入的内容,但我不太清楚。例如,我不明白下面列出的代码是否可以避免 SQL 注入。
User.where("first_name like ? ", "%#{params[:q]}%")
如果不行,还有什么选择?
是的,这是安全的。 ActiveRecord 将在清理您的参数以防止 SQL 注入后使用 prepared statement。
Rails 指南提供了更多信息:http://guides.rubyonrails.org/security.html#sql-injection
我在 Rails 中读到了一些关于 SQL 注入的内容,但我不太清楚。例如,我不明白下面列出的代码是否可以避免 SQL 注入。
User.where("first_name like ? ", "%#{params[:q]}%")
如果不行,还有什么选择?
是的,这是安全的。 ActiveRecord 将在清理您的参数以防止 SQL 注入后使用 prepared statement。
Rails 指南提供了更多信息:http://guides.rubyonrails.org/security.html#sql-injection