Rails 如何用 Rails 安全地进行带有参数的 SQL 语句操作?
rails 可以直接执行 sql 操作:
conn = ActiveRecord::Base.connection
c.execute("update posts set comments_count = 0")
但是我要传参数,我们知道,这样是不安全的:
c.execute("update posts set comments_count = #{count}")
最好可以这样:
c.execute("update posts set comments_count = ?", count)
我找了一下,没有看到解决方案:
- stackoverflow 上面的提问:http://stackoverflow.com/questions/4483049/how-to-execute-a-raw-update-sql-with-dynamic-binding-in-rails
- 有一个
conn.exec_update:c.exec_update("update posts set comments_count = $1", "haha", [[nil, 12]])好像可以用?但是参数弄不懂?
exec_update 找到用法了,应该这样:
c.exec_update("update posts set comments_count = $1", "haha", [[Post.columns_hash[:comments_count], 12]])
最后的参数 binds 会拆分出来反向一个个丢给 Connection.quote,前面的参数是 column,后面的是 value,这样把值 quote 起来。