parametrizzate unirsi in Rails 4

Question

sto facendo manuale join e ho bisogno di passare un parametro alla sua ON clausola:

Foo.joins("LEFT OUTER JOIN bars ON foos.id = bars.foo_id AND bars.baz = #{baz}") 

C'è un modo per passare baz come parametro, per evitare potenziali problemi di iniezione? C'è un metodo sanitize_sql_array, ma non sono sicuro di come utilizzarlo in questo caso.

Nota: non riesco a utilizzare where perché non è lo stesso.

Answer 1

Con sanitize_sql_array, che sarebbe:

# Warning: sanitize_sql_array is a protected method, be aware of that to properly use it in your code 
ar = ["LEFT OUTER JOIN bars ON foos.id = bars.foo_id AND bars.baz = %s", baz] 
# Within foo model: 
sanitized_sql = sanitize_sql_array(ar) 
Foo.joins(sanitized_sql) 

provato e ha funzionato.

modelli di registrazioni

Answer 2

Credo che si dovrebbe provare in questo modo:

Foo.joins("LEFT OUTER JOIN bars ON foo.id = bars.foo_id AND bars.baz = ?", baz) 

Con più parametri:

Foo.joins("LEFT OUTER JOIN bars ON foo.id = ? AND bars.baz = ? AND ...", foo, baz, etc...) 

Answer 3

si dovrebbe essere al sicuro se si passa un hash di valori, AR vi proteggerà contro le iniezioni SQL, in questo modo:

Foo.joins("LEFT OUTER JOIN bars ON foo.id = bars.foo_id").where(bars: {baz: baz}) 

Proprio don non utilizzare stringhe di fila in SQL che sono vulnerabili a SQL injection.

Answer 4

attivi hanno sanitize metodo di classe, in modo che si possa fare:

Foo.joins("LEFT OUTER JOIN bars ON foos.id = bars.foo_id AND bars.baz = #{Foo.sanitize(baz)}")