3
这是什么让来自用户的字符串,并以查询WHERE语句中使用它的最好的和安全的方式。用户查询字符串
比方说,我有一个名为DB模式,其中包含列c1和c2。我希望用户能够给我一个像str="c1: value1"或str="c1: value1, c2: value2"这样的字符串,以便用它来执行查找(DB.find(str))。当然,我不希望他/她能够执行SQL注入。有没有一种优雅的方式?
Q
用户查询字符串
A
回答
3
避免这里最重要的是直接把用户的响应转换成一个where子句。所以不要做像DB.where这样的东西(“c1 = value”)。相反,你可以依靠内置在SQL消毒轨道,通过执行类似
DB.where( “C1 T =?”,value)的
的AR文档是对这个真的清楚。 http://guides.rubyonrails.org/active_record_querying.html#pure-string-conditions
0
如果您字符串格式是固定的,那么你可以将其转换为Hash,然后可以将其应用到#where条款。
string = "c1: value1, c2: value2"
hash = Hash[*string.split(/[,:]/).map(&:strip)]
DB.where(hash)
相关问题
- 1. 使用查询字符串查询字符串列表?
- 2. 使用查询字符串
- 3. 使用查询字符串
- 4. 使用查询字符串
- 5. 使用查询字符串
- 6. 使用查询字符串
- 7. 使用查询字符串
- 8. 使用查询字符串
- 9. signalR javascript客户端查询字符串
- 10. 查询字符串
- 11. 查询字符串
- 12. 查询字符串
- 13. 查询字符串
- 14. 查询字符串
- 15. 重定向查询字符串的URL非查询字符串
- 16. flask url_for()将查询字符串当作查询字符串
- 17. 将查询字符串重定向到非查询字符串?
- 18. 查询字符串的查询字符串
- 19. 使用查询字符串过滤流沙使用查询字符串
- 20. 用字符串变量查询字符串串联
- 21. ElasticSearch查询字符串查询default_operator
- 22. Grails域名字符串查询查询
- 23. Doctrine2查询字符串查询
- 24. Elasticsearch Ngram和查询字符串查询
- 25. SQL字符串查询查询
- 26. 与Elasticsearch查询字符串查询
- 27. 查询字符串是空字符#
- 28. '&'字符中断查询字符串
- 29. SELECT查询字符串包含'%'字符
- 30. Thymeleaf:查询字符串
有没有一种优雅的方法来检查多次使用此方法相同的值?就像DB.where(“c1 t =?OR c2 t =?”,值,值)(不重复多次)。 – badnack
用sql no。还有其他方法。谢谢。 – dandlezzz