.where
を呼び出すときに、補間された文字列を使用することは安全ではないことが分かります。ActiveRecordの「注文」メソッドはSQLインジェクションに対して脆弱ですか?
これは:
Client.where("orders_count = #{params[:orders]}")
のように書き換えることが必要です。
Client.where("orders_count = ?", params[:orders])
.order
を呼び出すときには、補間文字列を使用しても安全ですか?そうでない場合は、どのように書き直すべきですか?
Client.order("#{some_value_1}, #{some_value_2}")
こんにちは@私はそれがどのように動作するか理解できなかったため、これについての質問をしました。助けてください:http://stackoverflow.com/questions/28630381/explain-how-order-clause-can-be-exploited-in-rails –