Nếu truy vấn không thể được biểu diễn một cách hiệu quả bằng ActiveRecord, cách sử dụng an toàn ActiveRecord::Base.connection.execute khi nội suy thông qua các thuộc tính params?Tránh tiêm sql với connection.execute
connection.execute "... #{params[:search]} ..."
Bạn có thể sử dụng các phương pháp trong ActiveRecord::Sanitization::ClassMethods.
Bạn phải cẩn thận một chút vì chúng được bảo vệ và do đó chỉ sẵn có cho các lớp con ActiveRecord::Base.
Trong một lớp mô hình mà bạn có thể làm điều gì đó như:
class MyModel < ActiveRecord::Base
def bespoke_query(params)
query = sanitize_sql(['select * from somewhere where a = ?', params[:search]])
connection.execute(query)
end
end
Bạn có thể send phương pháp này để thử nó ra trên giao diện điều khiển quá:
> MyModel.send(:sanitize_sql, ["Evening Officer ?", "'Dibble'"])
=> "Evening Officer '\\'Dibble\\''"
ActiveRecord có khử trùng phương pháp cho phép bạn dọn dẹp các truy vấn đầu tiên. Có lẽ đó là điều bạn có thể xem xét: http://apidock.com/rails/v4.1.8/ActiveRecord/Sanitization/ClassMethods/sanitize
Tôi sẽ rất cẩn thận khi chèn thông số trực tiếp như vậy. Bạn đang gặp phải sự cố gì, bạn không thể sử dụng ActiveRecord?
Tôi nghĩ 'query = sanitize_sql (' chọn * từ đâu đó a =? ', params [: search]) 'nên là' query = sanitize_sql ([' chọn * từ đâu đó a =? ', params [: search]]) ' – allthesignals
Đã chỉnh sửa. Cảm ơn. – Shadwell