を呼び出すときに補間された文字列を使用するのは安全ではないことはわかっています.where
。
例:
Client.where("orders_count = #{params[:orders]}")
次のように書き換える必要があります。
Client.where("orders_count = ?", params[:orders])
を呼び出すときに補間された文字列を使用しても安全.order
ですか? そうでない場合、以下はどのように書き直せばよいでしょうか?
Client.order("#{some_value_1}, #{some_value_2}")