ActiveRecord中的字符串插值与SQL注入
我收到通知,以下行有SQL注入的风险:ActiveRecord中的字符串插值与SQL注入,sql,activerecord,sql-injection,string-interpolation,Sql,Activerecord,Sql Injection,String Interpolation,我收到通知,以下行有SQL注入的风险: .order(“#{table}.email”) 不过,我不知道如何在使用点符号的字符串插值旁边使用占位符(?)。有人有这方面的经验吗 例如,.order([“?.email”,table])产生一个错误,将?.email引用为无效table和调用order的模型之间的关系是什么?你可以通过协会订购。笔记是
.order(“#{table}.email”)
不过,我不知道如何在使用点符号的字符串插值旁边使用占位符(?
)。有人有这方面的经验吗
例如,
.order([“?.email”,table])
产生一个错误,将?.email
引用为无效table和调用order的模型之间的关系是什么?你可以通过协会订购。笔记是