如何解决字符串插值与ActiveRecord中的SQL注入
我收到通知,以下行存在SQL注入的风险:
.order("#{table}.email")
不过,我不知道如何在使用点表示法的字符串插值中使用占位符(?
)。任何人都对此有经验吗?
例如,.order(["?.email",table])
产生一个错误,指出?.email
为无效
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。