zoukankan      html  css  js  c++  java
  • Ruby on rails开发从头来(四十六) ActiveRecord基础(SQL和Active Record)

         想象一下Active Record是如何处理SQL的,我们来看看find方法的:conditions参数,调用的时候像这样:find(:all,:conditions=>…),这里的:conditions参数决定了find方法将返回哪些记录,它相当于Sql语句的where部分,例如,要获取所有的名字为Davepay_typepo的订单,我们这样写:

    pos = Order.find(:all,:conditions => "name = 'dave' and pay_type = 'po'")

    find方法将返回所有符合条件的记录,并且都已经被转换成Order类的对象,如果没有符合条件的订单,find方法将返回一个长度为零的数组。

    如果你的条件是预定的,那么上面的写法就很好了,但是如果我们要指定条件中的值呢,我们这样写:

    # get the limit amount from the form

    name = params[:name]

    # DON'T DO THIS!!!

    pos = Order.find(:all,:conditions => "name = '#{name}' and pay_type = 'po'")

    但是,这并不是一个好主意,因为如果你的程序要发布在网络上的话,这样给SQL注入攻击留下了方便(后面我们在关于安全的主题里会讨论SQL注入的话题),更好的办法是,动态的生成SQL(注1),让Active Record来处理它,我们可以在SQL语句中加入占位符,然后这些占位符将会在运行期被替换成指定的值,指定占位符的方法就是在SQL中使用问号,在运行时,第一个问号将被替换为集合的第二个元素的值,以此类推,例如,我们把上面的查询重写一次:

    name = params[:name]

    pos = Order.find(:all,:conditions => ["name = ? and pay_type = 'po'", name])

     

    我们也可以使用带名字的占位符,名字前带冒号,例如下面这样:

    name = params[:name]

    pay_type = params[:pay_type]

    pos = Order.find(:all,

    :conditions => ["name = :name and pay_type = :pay_type",

    {:pay_type => pay_type, :name => name}])

    我也可以更进一步,因为params是一个hash,我们可以让conditions部分更简单

    pos = Order.find(:all,

    :conditions => ["name = :name and pay_type = :pay_type", params])

     

    不管使用哪种占位符,Active Record都会很小心地处理SQL中的引号和escape。使用动态SQLActive Record会保护我们不受SQL注入攻击。

     

    1:这里的动态sql不同于oracle等数据库中所指的动态sql,其含义类似于ADO.net中不拼接sql字符串,而是传参数来防止sql注入攻击。

  • 相关阅读:
    vs2015 打开xaml:右击-打开方式->xml编辑器
    交互式计算机图形学(基于webGL)资源使用
    利用pushState开发无刷页面切换
    js 阻止冒泡 stopPropagation
    PHP中“简单工厂模式”实例讲解
    ajax传递特殊字符串问题 +%@
    GitHub自学
    ajax 请求超时 取消请求
    mongo操作之分页
    我使用过的Linux命令之date
  • 原文地址:https://www.cnblogs.com/dahuzizyd/p/ruby_rails_study_46.html
Copyright © 2011-2022 走看看