我想知道清理传递给订单查询的用户输入的最佳方法。
我正在为 Rails 应用程序编写 API,并希望用户能够将 order_by 选项传递给 api 请求。
例如
get :index, :order_by => 'number asc'
我已经看到使用白名单作为一种常见的解决方案来限制实际通过订单调用(要点示例)的内容,但我认为我需要更多的东西。我还希望能够对任何嵌套的关联列进行排序,例如:
get :index, :order_by => 'user.last_name asc'
我怎样才能做到这一点,同时防止任何 SQL 注入的发生?