Tôi biết không an toàn khi sử dụng các chuỗi nội suy khi gọi .where
.Phương thức "order" của ActiveRecord có dễ bị tấn công SQL injection không?
ví dụ: này:
Client.where("orders_count = #{params[:orders]}")
nên được viết lại như sau:
Client.where("orders_count = ?", params[:orders])
Có an toàn để sử dụng chuỗi nội suy khi gọi .order
? Nếu không, làm thế nào sau đây nên được viết lại?
Client.order("#{some_value_1}, #{some_value_2}")
Hey @Mike Tôi hỏi một câu hỏi về điều này bởi vì tôi không hiểu nó hoạt động như thế nào. Bạn có thể trợ giúp: http://stackoverflow.com/questions/28630381/explain-how-order-clause-can-be-exploited-in-rails –