在Rails中,當我想通過一個用戶給定值找到並避免SQL注入(逃避撇號等),我可以做這樣的事情:Rails SQL注入?
Post.all(:conditions => ['title = ?', params[:title]])
我知道,這樣做都是不安全的(可能的SQL注入)是這樣的:
Post.all(:conditions => "title = #{params[:title]}")
我的問題是,下列方法是否阻止SQL注入?
Post.all(:conditions => {:title => params[:title]})
感謝您的直接回復。 – 2010-06-02 23:48:09