我正在尝试清理一个涉及用户输入的字符串,而不必在可能的情况下手动制作我自己的可能有问题的正则表达式,但是,如果这是唯一的方法,如果有人能指出我正确的方向,我也将不胜感激不太可能丢失任何东西的正则表达式。Rails 中有许多方法可以让你输入本地 SQL 命令,人们如何逃避用户输入?
我要问的问题是一个广泛的问题,但在我的特殊情况下,我正在使用我的 Postgres 数据库中的一个列,据我所知,Rails 本身并不理解该列,即 tsvector,它包含纯文本搜索信息。Rails 能够像字符串一样对其进行读写,但是,与字符串不同的是,当我在模型中执行 vector= 之类的操作时,它似乎不会自动转义它。
例如,当我执行 model.name='::',其中 name 是一个字符串时,它可以正常工作。当我执行 model.vector='::' 时,它会出错:
ActiveRecord::StatementInvalid: PGError: ERROR: syntax error in tsvector: "::"
"vectors" = E'::' WHERE "id" = 1
这似乎是分号缺少转义导致的问题,我可以手动设置vector='::' 很好。
我也有一个好主意,也许我可以这样称呼:
ActiveRecord::Base.connection.execute "UPDATE medias SET vectors = ? WHERE id = 1", "::"
但是,这种语法不起作用,因为原始 SQL 命令无权访问 find 使用 ? 转义和输入字符串的方法。标记。
这让我觉得与使用任何类型的用户输入调用 connection.execute 相同,因为这一切都归结为清理字符串,但我似乎找不到任何方法来手动调用 Rails 的 SQL 字符串清理方法。任何人都可以提供任何建议吗?