如何清理Arel SQL？

Question

我有以下Arel SQL：

Arel.sql("(users.last_donated_at IS NOT NULL AND users.last_donated_at < '#{User::ACTIVE_DONOR_WITHIN_DAYS.days.ago}')")

当我运行brakeman时，会收到SQL Injection警告。我尝试了以下几种方法：

Arel.sql("(users.last_donated_at IS NOT NULL AND users.last_donated_at < ?)", User::ACTIVE_DONOR_WITHIN_DAYS.days.ago)

但是，我得到以下错误：

ArgumentError:
       wrong number of arguments (given 2, expected 1)

如何使用Arel清理sql语句？

Answer 1

我是在回答我自己的问题。我正在使用Arel遵循Github wiki的Ransack gem。我正在做与文档中提到的2.2点非常相似的事情：https://github.com/activerecord-hackery/ransack/wiki/Using-Ransackers。为了清理参数并避免brakeman sql injection警告，我最终执行了以下操作：

Arel.sql(sanitize_sql_array("(users.last_donated_at IS NOT NULL AND users.last_donated_at < '#{User::ACTIVE_DONOR_WITHIN_DAYS.days.ago}')"))

Answer 2

使用Arel.sql通常不是处理查询的最佳方式。在我看来，你不需要清理这个查询，你需要重构它。

您可以为rails where子句(以及大多数其他查询方法order、select等)构建条件。在Arel中，使用方便的方法ModelName.arel_attribute(:attribute_name)，这将允许您构建超出rails原生where Hash所提供的高级支持的查询条件。

这与

table_name = ModelName.arel_table
table_name[:attribute_name]

因此，让我们将其应用于您的查询：

根据您的查询，IS NOT NULL条件没有任何意义，因为您还使用了小于，因此我们可以将条件更改为仅使用小于例如。

User.arel_attribute(:last_donated_at).lt(User::ACTIVE_DONOR_WITHIN_DAYS.days.ago)

这之所以有效，是因为NULL不小于(或大于，甚至等于)任何值，因此这些结果将不会以任何方式显示。

如果您坚持IS NOT NULL条件，我们仍然可以通过以下方式使用Arel属性生成所需的SQL：

User.arel_attribute(:last_donated_at).not_eq(nil).and(
  User.arel_attribute(:last_donated_at).lt(User::ACTIVE_DONOR_WITHIN_DAYS.days.ago)
)