0
Является ли этот код безопасным от SQL-инъекции?Rails scope и sql injection
scope :by_file_name, proc { |file_name| where("source_file ilike '%#{file_name}%'") }
A
ответ
2
Лучший способ передачи параметров, который является безопасным из sql-инъекции
scope :by_file_name, proc { |file_name| where("source_file ilike ?", "%#{file_name}%") }
1
No.
Оно должно быть:
scope :by_file_name, proc { |file_name| where("source_file ilike ?", file_name) }
2
Нет, вы должны сделать сферу, как это:
scope :by_file_name, proc { |file_name| where("source_file ilike '%?%'", file_name) }
+0
Этот код возвращает синтаксическую ошибку. –
Это не работает точно так же, как моя версия. Он не ищет правильные записи. –