У меня есть следующий контроллер в Rails:Какой самый лучший способ дезинфицировать destroy_all - Рельсы
class FooController < ApplicationController
def delete_foo(bar):
Foo.destroy_all("foo = '#{@bar}'")
Является
Foo.destroy_all("foo = ?", @bar)
всегда действует?
destroy_all работает над отношением. Почему бы не сделать
Foo.where(foo: bar).destroy_all
Foo.destroy_all("foo = ?", @bar), Это недействительно.
С apidoc, мы найдем:
destroy_all(conditions = nil) public
destroy_all метод принимает только один аргумент, аргумент может быть строка, массив или хэш. Вы не можете передать два аргумента.
Таким образом, вы можете написать так:
Foo.destroy_all("foo = #{@bar}")
Foo.destroy_all(foo: @bar)
Foo.where(foo: @bar).destroy_all
Вы можете быть предметом для 'SQL' атак там. – cybertextron
Да, мы должны думать о последствиях безопасности при использовании внешней строки в SQL. – pangpang