如何在rails中执行任意参数化SQL
出于性能原因,我需要在Rails模型中编写一个新方法来执行一些任意SQL:如何在rails中执行任意参数化SQL,sql,ruby-on-rails,sql-injection,Sql,Ruby On Rails,Sql Injection,出于性能原因,我需要在Rails模型中编写一个新方法来执行一些任意SQL: UPDATE table SET col1 = ? AND col2 = ? WHERE id = ? 我知道我可以使用ActiveRecord::Base.connection.execute或ActiveRecord::Base.connection.update,使用一个SQL字符串来获得我需要的结果,但是用实际参数值替换参数占位符(?)的正确过程是什么?是否有一种Rails方法可以将参数插入SQL语
UPDATE table
SET col1 = ? AND col2 = ?
WHERE id = ?
我知道我可以使用
ActiveRecord::Base.connection.executeActiveRecord::Base.connection.update?updates = ActiveRecord::Base.send(:sanitize_sql_array, ["name = ? and category = ?", name, category])
ActiveRecord::Base.connection.execute("update table set #{updates} where id = #{id.to_s.to_i}")
to_sto_iid