0

我正在寻找一种在将结果保存到数据库之前清理所有字段的正确方法。应该有办法做到这一点,因为用户可以在所有用户表单的任何字段中添加一些 html ......

谢谢!

4

1 回答 1

1

如果“清理”是指“避免 SQL 注入攻击”,ActiveRecord 应该会神奇地为您处理它。但是,听起来您是在谈论阻止用户在表单中输入 html 并在显示表单内容时处理该 html。

Rails 模板自动转义模板中的 html。因此,如果foo = "<b>bar</b>",放入<%= foo %>Rails 模板将显示标签,而不是评估它们。为了强制未转义的 html,您必须使用raw帮助程序(<%= raw(foo) %>不会转义标签)。

于 2013-08-29T18:11:20.910 回答