Trong Rails, khi tôi muốn tìm một người dùng giá trị nhất định và tránh SQL injection (thoát khỏi dấu nháy và các loại tương tự) tôi có thể làm một cái gì đó như thế này:Rails SQL injection?
Post.all(:conditions => ['title = ?', params[:title]])
Tôi biết rằng một cách an toàn để làm điều này (SQL injection có thể) là:
Post.all(:conditions => "title = #{params[:title]}")
Câu hỏi của tôi là, phương pháp sau có ngăn SQL injection hay không?
Post.all(:conditions => {:title => params[:title]})
Cảm ơn bạn đã phản hồi trực tiếp. –