文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >将参数传递给sql.squish

将参数传递给sql.squish
EN

Stack Overflow用户
提问于 2021-05-25 15:58:34
回答 2查看 702关注 0票数 0

我希望在我的select请求中使用EXIST,根据文章是否在一组年份的一本书中发表,我希望有一个“已发表”的列。

所以我做以下几件事

代码语言:javascript
复制
 p params[:years]               # "2002"
 p params[:years].is_a?(String) # true

 Article.select(<<~SQL.squish, years: params[:years])
    articles.*, EXISTS(
      SELECT 1
      FROM books
      WHERE books.year IN (:years)
    ) AS published
    SQL

但是它给了我一个错误

不支持的参数类型:哈希。构造一个Arel节点

如果我像这样尝试

代码语言:javascript
复制
 p params[:years]               # "2002"
 p params[:years].is_a?(String) # true

 Article.select(<<~SQL.squish)
    articles.*, EXISTS(
      SELECT 1
      FROM books
      WHERE books.year IN (#{params[:years]})
    ) AS published
    SQL

未定义函数:错误:运算符不存在:字符变化= bigint,其中books.year IN (2022年)

但是帕拉姆:年数是一根线,我不知道我怎么能做我想做的事,我也不明白这两种错误。

编辑:如果我像这样使用单引号

代码语言:javascript
复制
 p params[:years]               # "2002"
 p params[:years].is_a?(String) # true

 Article.select(<<~SQL.squish)
    articles.*, EXISTS(
      SELECT 1
      FROM books
      WHERE books.year IN ('#{params[:years]}')
    ) AS published
    SQL

它只适用于一个值,但如果是params:年份是一个数组,它可以工作,但是输出是不正确的,如果我在2003年的一本书中有文章,它将设置为false。

代码语言:javascript
复制
 p params[:years]               # ["2002", "2003"]
 p params[:years].is_a?(String) # false
 Article.select(<<~SQL.squish)
    articles.*, EXISTS(
      SELECT 1
      FROM books
      WHERE books.year IN ('#{params[:years]}')
    ) AS published
    SQL
ruby-on-rails
postgresql
EN

回答 2

Stack Overflow用户

回答已采纳

发布于 2021-05-25 16:21:45

通过将用户输入插入到SQL查询中,您将为SQL注入攻击留下很大的空间。

通过使用Arel来构造查询,这很容易防止:

代码语言:javascript
复制
Article.select(
  Article.arel_table[Arel.star],
  Book.select(1)
      .where(year: params[:years])  
      .arel
      .exists
      .as('published')
)
代码语言:javascript
复制
SELECT 
  "articles".*, 
  EXISTS (SELECT 1 FROM "books" WHERE "books"."year" IN (?, ?, ?)) AS published 
FROM "articles"
票数 1
EN

Stack Overflow用户

发布于 2021-05-25 16:33:36

Object.select方法在ActiveRecord中不像.where那样支持清理后的占位符插入。这就是为什么您要得到所得到的错误- select需要一个字段列表,但是您的一个参数是Hash。

获得您要寻找的功能的一种方法是,正如错误消息所建议的那样,使用Arel (如果您不熟悉它,请将Arel看作是ActiveRecord内部用来构造其SQL查询的“构建块”)。马克斯的回答是将查询转换为Arel的好方法。

或者,您也可以像ActiveRecord的其他部分一样对自己的SQL进行净化。为了清楚起见,将其分为SQL解析和select语句:

代码语言:javascript
复制
sql = Article.sanitize_sql([<<~SQL, year: params[:years]])
  articles.*, EXISTS(
      SELECT 1
      FROM books
      WHERE books.year IN (:years)
    ) AS published
SQL
Article.select(sql)

我想说的是,手工清洁您的SQL将帮助您克服目前的绊脚石,但如果您要在整个商店进行类似的操作,您将受益于了解Arel做什么和如何使用它。

票数 2
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/67691586

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档