堆棧內存溢出
  簡體   English   中英

在 rails 中提供准備好的語句

[英]Provide prepared statement in rails

 原文  2017-11-16 07:37:46       mysql/ ruby-on-rails

問題描述

我正在使用 rails-4.2.1 並試圖在單個查詢中從兩個表主題和選修主題表中獲取數據。 由於 rails 4 不支持 UNION ,我寫了一個原始的 sql 查詢。 我想在兩個表中按名稱搜索。 我的代碼如下

query = "(SELECT id as id, name as name, reference as reference from subjects where name like '#{search}') UNION (SELECT id as id, name as name, null as reference from elective_subjects where name like '#{search}')"

@subjects =  ActiveRecord::Base.connection.execute(query)

它正在工作,但是當我在搜索中提供 ' 時,查詢會中斷。 那么我怎樣才能使它成為一個准備好的聲明。 這樣可以避免sql注入

2 個解決方案

解決方案1
 1  2020-05-04 16:23:18

這個問題太老了,不再關心了,但我認為這是一個有效的問題,所以這里是答案:

query = "(SELECT id as id, name as name, reference as reference from subjects where name like $1) 
         UNION
         (SELECT id as id, name as name, null as reference from elective_subjects where name like $1)"

binds = [ActiveRecord::Relation::QueryAttribute.new('name', search, ActiveRecord::Type::Text.new)]

result = ApplicationRecord.connection.exec_query(query, 'SQL', binds, prepare: true)

@subjects = result.rows

這就是在 rails 中創建和使用准備好的語句的方式。

解決方案2
 0  2017-11-17 12:06:39

我已經通過使用以下語句轉義搜索字符串解決了這個問題。

search = Mysql2::Client.escape(search)

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 這是准備好的聲明嗎? 准備的陳述只准備一次? PHP在准備好的聲明中准備了聲明 PDO中的foreach准備語句 PHP准備的語句錯誤 准備好的語句LIKE通配符 具有%和限制的PDO准備的語句 我沒有說明我准備的陳述 在 PHP 中創建准備好的語句 更新准備好的語句未提交
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM