ruby sql语句
来源:互联网 发布:网络机顶盒启动不起来 编辑:程序博客网 时间:2024/05/30 04:23
想象一下Active Record是如何处理SQL的,我们来看看find方法的:conditions参数,调用的时候像这样:find(:all,:conditions=>…),这里的:conditions参数决定了find方法将返回哪些记录,它相当于Sql语句的where部分,例如,要获取所有的名字为Dave,pay_type为po的订单,我们这样写:
pos = Order.find(:all,:conditions => "name = 'dave' and pay_type = 'po'")
find方法将返回所有符合条件的记录,并且都已经被转换成Order类的对象,如果没有符合条件的订单,find方法将返回一个长度为零的数组。
如果你的条件是预定的,那么上面的写法就很好了,但是如果我们要指定条件中的值呢,我们这样写:
# get the limit amount from the form
name = params[:name]
# DON'T DO THIS!!!
pos = Order.find(:all,:conditions => "name = '#{name}' and pay_type = 'po'")
但是,这并不是一个好主意,因为如果你的程序要发布在网络上的话,这样给SQL注入攻击留下了方便(后面我们在关于安全的主题里会讨论SQL注入的话题),更好的办法是,动态的生成SQL(注1),让Active Record来处理它,我们可以在SQL语句中加入占位符,然后这些占位符将会在运行期被替换成指定的值,指定占位符的方法就是在SQL中使用问号,在运行时,第一个问号将被替换为集合的第二个元素的值,以此类推,例如,我们把上面的查询重写一次:
name = params[:name]
pos = Order.find(:all,:conditions => ["name = ? and pay_type = 'po'", name])
我们也可以使用带名字的占位符,名字前带冒号,例如下面这样:
name = params[:name]
pay_type = params[:pay_type]
pos = Order.find(:all,
:conditions => ["name = :name and pay_type = :pay_type",
{:pay_type => pay_type, :name => name}])
我也可以更进一步,因为params是一个hash,我们可以让conditions部分更简单
pos = Order.find(:all,
:conditions => ["name = :name and pay_type = :pay_type", params])
不管使用哪种占位符,Active Record都会很小心地处理SQL中的引号和escape。使用动态SQL,Active Record会保护我们不受SQL注入攻击。
注1:这里的动态sql不同于oracle等数据库中所指的动态sql,其含义类似于ADO.net中不拼接sql字符串,而是传参数来防止sql注入攻击。
- ruby sql语句
- ruby流程控制语句
- ruby 条件语句
- ruby 循环语句
- Ruby控制语句
- Ruby赋值语句中的||
- ruby 控制语句
- Ruby控制语句
- Ruby范例2-控制语句
- ruby里的条件语句
- ruby 语句和控制结构
- ruby中的控制逻辑语句
- ruby语法条件语句实例
- ruby控制语句和循环语句
- ruby控制语句和循环语句
- SQL语句
- sql语句
- SQL语句
- JDBC连接各种数据库经验技巧集萃
- Python日期和字符串的互转
- 在一个程序中打开另一个应用程序
- Session过期设置
- 搜索理论
- ruby sql语句
- UITableView异步加载图片
- 产品经理要把自己当傻瓜 ——7月24 号张小龙内部讲座《通过微信谈产品》有哪些亮点?
- WebKit加载网页的流程
- 设计思维与设计师
- KMP算法(转自Matrix神牛)
- Javascript和CSS浏览器兼容总结
- Oracle查看索引语句
- 带你了解中国互联网发展报告