0

Ruby on Railsガイドで、これが正しい形式と見なされていることに気づきました

Client.where("orders_count = ?", params[:orders])

後で彼らは使用しました

Client.where(:created_at => (params[:start_date].to_date)..(params[:end_date].to_date))

私の質問は、この.to_メソッドを使用することでSQLインジェクションに対して十分に安全であると想定しても安全ですか?

4

1 に答える 1

1

to_メソッドが安全であるというわけではありませんが、次の形式:where(:column => value)または新しいハッシュ形式:where(column:value)も同様に安全で、より便利です。

于 2012-10-24T22:52:23.980 に答える