0

我在 Ruby on Rails 指南中注意到这被认为是正确的格式

Client.where("orders_count = ?", params[:orders])

而后来他们使用

Client.where(:created_at => (params[:start_date].to_date)..(params[:end_date].to_date))

我的问题是,是否可以安全地假设使用该.to_方法对 sql 注入足够安全?

4

1 回答 1

1

并不是 to_ 方法是安全的,而是格式: where(:column => value) 或使用新的哈希格式: where(column: value) 一样安全且更方便。

于 2012-10-24T22:52:23.980 回答