Rails d'injection SQL?

Dans les Rails, quand j'ai envie de trouver un utilisateur donné de la valeur et d'éviter les injection SQL (échapper les apostrophes et autres) je peux faire quelque chose comme ceci:

Post.all(:conditions => ['title = ?', params[:title]])

Je sais que d'une façon dangereuse de le faire (ce qui est possible d'injection SQL) est-ce:

Post.all(:conditions => "title = #{params[:title]}")

Ma question est, est la méthode suivante prévenir l'injection SQL ou pas?

Post.all(:conditions => {:title => params[:title]})
InformationsquelleAutor Yuval Karmi | 2010-06-02
  1. 39

    Oui, c'est fait. Seule la seconde est dangereux.

    • Je vous remercie pour votre réponse directe.
    InformationsquelleAutor fphilipe
  2. 8

    Un bonne référence du RoR Guides.

    • Merci, c'est pertinent.
    InformationsquelleAutor edthix
  3. 5

    +1 @fphilipe et @yuval Cochez cette 5 min de la vidéo à partir railscast et un guide rails

    • Merci, je l'ai vu déjà, mais elle ne couvre pas ma question (concernant la dernière)
    InformationsquelleAutor Mohit Jain