如comment_controller.rb中所示:
def create
@comment = Comment.new(params[:comment])
@comment.save
end
我假设这是sql注入 – 不安全.但这样做的正确方法是什么?..网上的所有例子都涉及到发现.
该
代码不受
sql注入攻击.转义是由ActiveRecord完成的,所以每当你
调用模型的查找,创建,新建/保存或任何其他进行
数据库交互的
方法时,你都可以.唯一的例外是如果您使用原始
sql作为其中
一个选项,例如:
Comment.find(:all,:conditions => "user_id = #{params[:user_id]}")
首选形式是:
Comment.find(:all,:conditions => {:user_id => params[:user_id]})
这将自动防止sql注入.