私はRailsプロジェクトに取り組んでおり、デバッグ用のツールとしてBrakemanを使用しています。私はテーブルからデータを取得するためにクエリを使用しましたが、BrakemanのテストではクエリにSql Injection Possibilityがあると書いています。ここで RailsでSQLインジェクションからのクエリを防ぐことができません
は私のクエリです:Applicant.all.where("profile_id=#{current_user.profile.id}").first
しかし、私はそれが確保されていない場合、私はSQLインジェクションを防ぐことができますどのようにして、このクエリで問題だかわかりませんか?
あなたはMySQLとSQL Serverをタグ付けしましたか? –
この「Applicant.where」を試す( 'profile_id =?'、current_user.profile.id).first OR Applicant.where(profile_id:current_user.profile.id).first –
これを確認してください:http://guides.rubyonrails.org/ active_record_querying.html#pure-string-conditions –