在 Rails 的 where 子句中传递字符串总是被引用

【问题标题】：Passing a string in where clause in Rails is always quoted在 Rails 的 where 子句中传递字符串总是被引用
【发布时间】：2023-12-02 22:23:01
【问题描述】：

我正在尝试以编程方式编写 .where() 子句。

看起来像

Post.where("description ?", @composite)

其中@composite 是之前构造的字符串。它可能类似于= 'ABCD' 或IS LIKE 'ABCD' 等。

问题在于生成的 SQL 始终是单引号。例如：

Post Load (0.2ms)  SELECT `posts`.* FROM `posts` WHERE (description 'IS LIKE "ABCD"')

有没有办法“取消引用”它？

【问题讨论】：

标签： sql ruby-on-rails where-clause quotes composition

【解决方案1】：

= 和 IS LIKE 不应是您传入的字符串的一部分。

它被单引号引用，因为这正是 ? 所做的：SQL 安全引用。

如果您想自己完全构建 SQL，那么就这样做，例如，

Post.where("description #{@composite}")

您需要自己清理字符串，这很容易，因为大概您正在使用输入构造 = 或 IS LIKE 部分。

【讨论】：

这就是我试图解决的问题 :) Post.where("description #{@composite}") 不适合 SQL 注入。
@valk 但是您不能按照您尝试的方式进行操作，? 明确保护输入值。如果您不打算使用内置机制，则需要自己保护它。
所以答案是，Rails 不知道如何清理除 SQL 值之外的任何内容：)
@valk 没有其他东西需要消毒。
对，但是如果对整个块进行消毒，会节省时间，不是吗？

【解决方案2】：

使用这个：

Post.where("description #{@composite}")

【讨论】：

那么你必须改变@composite创建
喜欢试试这个：search_string = "ABCD" exact_match = false Post.where("description #{exact_match ? '=' : 'LIKE'} ?", search_string)

猜你喜欢

“this”指针总是常量吗？ 2013-04-12
COUNTIF 语句：所有工作表的范围 + 单元格引用作为标准 2025-11-21
十进制模块中的有效数字 2025-11-21
PowerMockito.whenNew 正在使用参考而不是使用对象 2025-11-21
PHP：使用 header() 更改引用者 2025-11-21
使用索引同时从 numpy 2D 数组的行中减去多个值 2025-11-21
如何递归合并继承的json数组元素？ 2025-11-21
mysql连接查询不使用索引 2025-11-21
Java Tcp Socket 管理数据包重传 2025-11-21
Hibernate(HQL) - 如何查询“where many in()”多对多 2025-11-21

相关资源

Visual Studio.NET使用技巧手册完整版PDF(中文+英文)下载 2021-06-07
回到网页顶部的JS代码下载 2022-12-26
HTML5 Canvas实现的彩色肥皂泡浮起动画效果源码下载 2023-02-19
HTML5 canvas实现的全屏酷炫星空背景动画特效源码下载 2022-12-21
AndrewAndreas Bold字体,AndrewAndreasBold字体下载下载 2023-02-17

最近更新更多

热门标签

Java Python linux javascript C# Mysql Docker 算法前端 SpringBoot Redis Vue spring .net 设计模式 .net core c++ kubernetes 数据库机器学习大数据数据结构微服务 js 人工智能 Go Android 面试程序员 JVM 云原生后端 ASP.net core 深度学习 CSS k8s git golang PHP devops Nginx Django React mybatis 架构多线程 Spring Boot 云计算 LeetCode 分布式