Arrays Rails 3动态转义查询绑定变量数量错误
我有一个表格,用户可以使用多种不同类型的组合以多种方式进行过滤。对于我从用户那里获得的所有输入数据,从SQL中转义用户数据对我来说很重要,这导致了我现在遇到的问题。我有两个数组,它们是基于发送到操作的参数动态构建的,一个数组包含SQL子句,另一个包含要与其各自的caluse配对的值。。。比如说Arrays Rails 3动态转义查询绑定变量数量错误,arrays,ruby-on-rails-3,dynamic,Arrays,Ruby On Rails 3,Dynamic,我有一个表格,用户可以使用多种不同类型的组合以多种方式进行过滤。对于我从用户那里获得的所有输入数据,从SQL中转义用户数据对我来说很重要,这导致了我现在遇到的问题。我有两个数组,它们是基于发送到操作的参数动态构建的,一个数组包含SQL子句,另一个包含要与其各自的caluse配对的值。。。比如说 def results sql_clauses = Array.new sql_args = Array.new unless params[:elapsed_time].nil?
def results
sql_clauses = Array.new
sql_args = Array.new
unless params[:elapsed_time].nil?
sql_clauses << "elapsed_time = ?"
sql_args << params[:elaped_time]
end
unless params[:age_greater_than].nil?
sql_clauses << "age > ?"
sql_args << params[:age_greater_than]
end
.....
@results = Model.where(sql_clauses.join(" and "), sql_args.join(", "))
end
有人知道我的问题的解决办法吗 试试这样的方法:
def results
sql_clauses = []
sql_clauses << "elapsed_time = :elapsed_time" if params[:elapsed_time]
sql_clauses << "age > :age_greater_than" if params[:age_greater_than]
.....
@results = Model.where(sql_clauses.join(" and "), params)
end
map = {
:elapsed_time => "elapsed_time =",
:age_greater_than => "age >"
}
然后循环遍历params键,如果它们存在于map中,则构建子句。尝试以下操作:
def results
sql_clauses = []
sql_clauses << "elapsed_time = :elapsed_time" if params[:elapsed_time]
sql_clauses << "age > :age_greater_than" if params[:age_greater_than]
.....
@results = Model.where(sql_clauses.join(" and "), params)
end
map = {
:elapsed_time => "elapsed_time =",
:age_greater_than => "age >"
}
然后循环遍历params键并构建子句(如果它们存在于map中)。在Rails 3中构建动态查询不需要使用字符串。ActiveRecord方法(如select、where、order、limit等)返回ActiveRecord::Relation对象,这些对象可以在不触发多个数据库调用的情况下链接: cars=Car.where:color=>“black”此处不生成数据库查询。 rich\u ppls\u cars=cars.order'cars.price DESC'。limit10仍然没有数据库查询。 在调用ActiveRecord::Relation对象上的.all、.first、.last或.each时,将查询数据库 示例代码 假设您正在查询具有以下列的模型: 名称 经过的时间 年龄 您有一个如下所示的params散列:
def results
sql_clauses = []
sql_clauses << "elapsed_time = :elapsed_time" if params[:elapsed_time]
sql_clauses << "age > :age_greater_than" if params[:age_greater_than]
.....
@results = Model.where(sql_clauses.join(" and "), params)
end
map = {
:elapsed_time => "elapsed_time =",
:age_greater_than => "age >"
}
def results
sql_clauses = []
sql_clauses << "elapsed_time = :elapsed_time" if params[:elapsed_time]
sql_clauses << "age > :age_greater_than" if params[:age_greater_than]
.....
@results = Model.where(sql_clauses.join(" and "), params)
end
map = {
:elapsed_time => "elapsed_time =",
:age_greater_than => "age >"
}
在Rails3中,不需要使用字符串来构建动态查询。ActiveRecord方法(如select、where、order、limit等)返回ActiveRecord::Relation对象,这些对象可以在不触发多个数据库调用的情况下链接: cars=Car.where:color=>“black”此处不生成数据库查询。 rich\u ppls\u cars=cars.order'cars.price DESC'。limit10仍然没有数据库查询。 在调用ActiveRecord::Relation对象上的.all、.first、.last或.each时,将查询数据库 示例代码 假设您正在查询具有以下列的模型: 名称 经过的时间 年龄 您有一个如下所示的params散列:
def results
sql_clauses = []
sql_clauses << "elapsed_time = :elapsed_time" if params[:elapsed_time]
sql_clauses << "age > :age_greater_than" if params[:age_greater_than]
.....
@results = Model.where(sql_clauses.join(" and "), params)
end
map = {
:elapsed_time => "elapsed_time =",
:age_greater_than => "age >"
}
def results
sql_clauses = []
sql_clauses << "elapsed_time = :elapsed_time" if params[:elapsed_time]
sql_clauses << "age > :age_greater_than" if params[:age_greater_than]
.....
@results = Model.where(sql_clauses.join(" and "), params)
end
map = {
:elapsed_time => "elapsed_time =",
:age_greater_than => "age >"
}
这对SQL注入安全吗?是的,我想是的,为什么不试试?User.where:a,{:a=>\a\}->SELECT users.*来自用户'where'\a\'`嘿,Mattias,不幸的是,对于一些参数,需要进行一些额外的处理,我不能接受它们作为参数进入我的查询。但我不知道你可以像那样传递整个params散列,我想知道这肯定很有用。我的一位同事推荐了一个更适合我的选项,他会很快分享他的答案。这对SQL注入安全吗?是的,我想是的,为什么不试试?User.where:A,{:A=>\A\}->SELECT users.*来自用户'where'\A\'嘿,Mattias,不幸的是,对于某些参数,需要进行一些额外的处理,我不能接受它们作为参数进入我的查询。但我不知道你可以像那样传递整个params散列,我想知道这肯定很有用。我的一位同事推荐了一个对我更有效的选择,他很快会分享他的答案。是的,这正是我最终的结果
实施。谢谢你的详细帖子。是的,这正是我最终实现的。谢谢你的详细帖子。