帖子地址
AR 非常强大,我觉得 99% 的人不会有这种怪癖 SQL 需求和不会用字符串拼接去写 SQL,但是了解一下 SQL 注入也是好的:)
一般都用参数传递的方式或者用 hash 传递变量,应该没人傻傻的直接用字符串替换的方式去拼接 sql 吧
