12
に、限界に参加する選択など(ない条件)のためのSQLフラグメントのための文字列をエスケープ、条件のために、それはSQLインジェクション防止クエリを作成するのは簡単です:が安全にRuby on RailsにはRailsの
:conditions => ["title = ?", title]
タイトルは、外部から、ウェブフォームなどから得られます。
しかし、あなたは次のように、クエリの他の部分でSQLの断片を使用している場合:
:select => "\"#{title}\" AS title" # I do have something like this in one instance
:joins => ["LEFT JOIN blah AS blah2 ON blah2.title = \"#{title}\""]
適切にこれらの文字列をエスケープする方法はありますか?