0

在我的控制器中,我使用了许多find_by_sql()东西,为了避免 SQL 注入,我将 SQL 语句构建为哈希,如下所示

Beneficiary.find_by_sql(["SELECT * FROM beneficiaries WHERE project_id=? AND cso_id IN(SELECT user_id FROM user_projects INNER JOIN users ON  user_projects.user_id=users.id)",params[:id]])

是否足以避免 SQL 注入?还是需要更多?

4

1 回答 1

2

是的,够了,参数用占位符,不存在SQL注入问题。

于 2012-06-21T05:19:51.910 回答