In Rails, quando voglio trovare da un dato valore di utente ed evitare SQL injection (fuga apostrofi e simili) che posso fare qualcosa di simile:Iniezione SQL delle rotaie?
Post.all(:conditions => ['title = ?', params[:title]])
So che un modo non sicuro di fare questo (possibile SQL injection) è questo:
Post.all(:conditions => "title = #{params[:title]}")
la mia domanda è, fa il seguente metodo prevenire SQL injection o no?
Post.all(:conditions => {:title => params[:title]})
Grazie per la vostra risposta diretta. –