Come visto in comment_controller.rb:prevenzione iniezione SQL per creare metodo controller rotaie
def create
@comment = Comment.new(params[:comment])
@comment.save
end
Im supponendo che questo è SQL iniezione pericoloso. Ma qual è il modo corretto di farlo? .. Tutti gli esempi sulla rete riguardano i reperti.
Il codice è protetto da attacchi di SQL injection. L'escaping viene eseguito da ActiveRecord, quindi ogni volta che chiami il modello find, create, new/save o qualsiasi altro metodo che interagisce con il database, sei a posto. L'unica eccezione è se si utilizza SQL prima per una delle opzioni, ad esempio:
Comment.find(:all, :conditions => "user_id = #{params[:user_id]}")
la forma preferita è:
Comment.find(:all, :conditions => {:user_id => params[:user_id]})
che sarà automaticamente protetto contro SQL injection.
Si noti che l'esempio di codice è sicuro dall'iniezione SQL come spiegato da Alex, ma non è sicuro da mass assignment exploits.
Ottimo punto: non sono sicuro del motivo per cui non mi è venuto in mente prima – DanSingerman