Hazırlanan ifadeleri biliyorum, ancak ham SQL kullanıyorsam, ActiveRecord'un değerleri el ile çıkarması için bir yolu var mı? BöyleRails değerlerini kaçış (mysql_real_escape_string() ile benzer
şey güzel olurdu: Hala soru işaretleri kaçan değerler olarak durmak formu kullanabilirsiniz
self.escape("O'Malley") # O\'Malley
Sen yapabilirsiniz:
Dude.sanitize("O'Malley")
veya
Dude.connection.quote("O'Malley")
aynı sonucu ikisi: durumda biri ise => "'O''Malley'"
bile Model.find_by_sql ile.
Bunun birinci elemanın sorgu dizisi geçmek ve takip eden elemanlar olarak ikame edilmesi değerler
Örnek Raylar API belgelerine.
Post.find_by_sql ["SELECT title FROM posts WHERE author = ? AND created > ?", author_id, start_date]döndürür Ya ben ekliyorsam? –
Kazabilirim ama gerçekten: ActiveRelation/ActiveModel'in dışına neden yerleştiriliyorsunuz? –
"INSERT IGNORE" yapıyorum ve performans için tek bir bildirimde birden çok kaydı güncelliyorum. –
kolayca mysql2 kullanabilir taş bunun için:
irb(main):002:0> require 'rubygems'
=> true
irb(main):003:0> require 'mysql2'
=> true
irb(main):004:0> Mysql2::Client.escape("O'Malley") # => "O\\'Malley"
=> "O\\'Malley"
Veya eğer daha önce mysql kullanarak (değil mysql2) mücevher:
irb(main):002:0> require 'rubygems'
=> true
irb(main):003:0> require 'mysql'
=> true
irb(main):004:0> Mysql.escape_string("O'Malley")
=> "O\\'Malley"
Bu, istediğiniz herhangi bir şeyden kurtulmanızı ve daha sonra db'ye eklemenizi sağlar. Bunu da sanitize yöntemini kullanarak ray uygulamanızda çoğu modelde yapabilirsiniz. Örneğin, Kişi adında bir modeliniz olduğunu varsayalım. Yapabilirsin.
Person.sanitize("O'Malley")
Bu hile yapmalıdır.
ActiveRecord kaynağına hızlı bir dalış sql deyimi [string, bind_variable[, bind_variable]] türünü sterilize yönelik yöntem "sanitize_sql_array" ortaya koymaktadır
doğrudan diyebiliriz:
sql = ActiveRecord::Base.send(:sanitize_sql_array, ["insert into foo (bar, baz) values (?, ?), (?, ?)", 'a', 'b', 'c', 'd'])
res = ActiveRecord::Base.connection.execute(sql)
Jason: DB bağımsız olduğundan daha iyi bir çözüm. Uygulama Heroku üzerinde konuşlandırılmışsa, şu anda kabul edilen çözüm (@quest) çalışmayacaktır. –
Dört yıl sonra, "sanitize_sql_array" ve kuzenleri hala genel API'nin bir parçası değildir. Uygun bir kamu muadili var mı? –
@ jemminger çözümünü uygun daha somut örnek arıyor, işte burada toplu ekleme içindir: Burada
users_places = []
users_values = []
timestamp = Time.now.strftime('%Y-%m-%d %H:%M:%S')
params[:users].each do |user|
users_places "(?,?,?,?)"
users_values << user[:name] << user[:punch_line] << timestamp << timestamp
end
bulk_insert_users_sql_arr = ["INSERT INTO users (name, punch_line, created_at, updated_at) VALUES #{users_places.join(", ")}"] + users_values
begin
sql = ActiveRecord::Base.send(:sanitize_sql_array, bulk_insert_users_sql_arr)
ActiveRecord::Base.connection.execute(sql)
rescue
"something went wrong with the bulk insert sql query"
end
, bunu yapabilirsiniz:
Dude.connection.quote_string("O'Malley")
Bu "O\'Malley" yerine "'O\'Malley'" ait
Bu sizi SQL'den korumaz enjeksiyon. – tvdeyen
@tvdeyen: Özellikle kabul edilen cevapla karşılaştırıldığında, yukarıdakilerin ne şekilde savunmasız olacağını açıklamak ister misiniz? Sonuçta, 'quote_string', kullanılan ActiveRecord adaptörüne bağlı olacaktır. Mysql2 bağdaştırıcısı ve soyut mysql bağdaştırıcısı için "quote", string değerleri için quote_string işlevini çağırır ve sonucu tırnak içine alır. Bir çeşit multibyte enjeksiyon mu yoksa başka bir şey mi düşünüyorsunuz? Teşekkür ederim. – Nathan
Teşekkürler @Nathan., Benim için çalışıyor .. –
Modelinizin adını seviyorum. Ahbap, harikasın. –
@NateSymer: Evet, peki, senin fikrin gibi, adamım. – Fuser97381
Başkalarının merak ettiği durumda, evet, tam olarak aynıdır: [çağrıları sanitize et link.quote] (http://apidock.com/rails/ActiveRecord/Base/sanitize/class) – mltsy