RubyonRails、SQL和SQL参数_Sql_Ruby On Rails_Parameters_Sql Injection

RubyonRails、SQL和SQL参数

sql ruby-on-rails parameters

RubyonRails、SQL和SQL参数,sql,ruby-on-rails,parameters,sql-injection,Sql,Ruby On Rails,Parameters,Sql Injection,我有复杂的SQL查询。我需要安全地将参数传递给SQL查询。如果不使用activerecord，如何避免sql注入？我应该把SQL模型/控制器放在哪里？有人知道在没有activerecord的情况下使用SQL server的良好做法吗？activerecord有清理SQL功能。您可以检查这些方法的有效性。当您绕过ActiveRecord时，您几乎必须手动执行所有操作。我想你有充分的理由这么做具有以下方法：针对指定（针对集合）清理sql和针对条件（针对选择）清理sql。还有一些其他的清理sql可

我有复杂的SQL查询。我需要安全地将参数传递给SQL查询。如果不使用activerecord，如何避免sql注入？我应该把SQL模型/控制器放在哪里？有人知道在没有activerecord的情况下使用SQL server的良好做法吗？

activerecord有

清理SQL

功能。

您可以检查这些方法的有效性。

当您绕过ActiveRecord时，您几乎必须手动执行所有操作。我想你有充分的理由这么做

具有以下方法：针对指定（针对集合）清理sql和针对条件（针对选择）清理sql。还有一些其他的清理sql可能也值得一看。两者都接受散列（使用键作为列名）或字符串

我可能弄错了，但要获取记录并跳过ActiveRecord，我认为您应该使用ActiveRecord:：Base.connection.execute（sql），它应该从数据库连接器返回对象。检查文档中的连接器，查看返回的内容以及如何使用它

至于最佳实践，对不起，我帮不了你：-）