sql - 带有 select_all 的 Rails 准备好的语句-6ren

sql - 带有 select_all 的 Rails 准备好的语句

转载作者：行者123 更新时间：2023-12-03 15:04:09

27

4

据我所知，应该可以在 Rails 中执行以下操作:

ActiveRecord::Base.connection.select_all("SELECT MONTH(created) AS month, YEAR(created) AS year FROM orders WHERE created>=$1 AND created<=$2 GROUP BY month ORDER BY month ASC",nil,[['created',1],['created',2]])

但可悲的是，这根本不起作用。无论我尝试使用什么格式， $1和 $2永远不会被绑定(bind)数组中的相应值替换。

我还有什么需要注意的吗？

最佳答案

您应该使用 sanitize_sql_array在你的模型中，像这样:

r = self.sanitize_sql_array(["SELECT MONTH(created) AS month, YEAR(created) AS year FROM orders WHERE created>=? AND created<=? GROUP BY month ORDER BY month ASC", created1, created2])
self.connection.select_all r

这可以保护您免受 SQL 注入(inject)。

关于sql - 带有 select_all 的 Rails 准备好的语句，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/12755969/

27

4

0

文章推荐： security - 头脑 Storm : How to quickly create a honeypot for mass spam?

文章推荐： html - 向文本 block 添加逐渐增加的模糊

文章推荐： asp.net-mvc-3 - 将HTML代码附加到现有的Razor部分

java - 准备好 map 上的当前位置纬度和经度
我想获取当前位置并将相机移动到当前位置，然后将当前位置 (LatLng) 保存到我的数据库我获得了 ACCESS_FINE 权限并使用以下代码，但应用程序已停止工作 double lat = map
php - mysqli 准备好-将结果存储到数组中？
我想稍微优化一下这部分代码，以使用 $_SESSION['user']= $arr; 这样的数组。 // Store user db info in session for use $stmt = $
python - Pyramid 准备好/推荐黄金时段了吗？
就目前而言，这个问题不适合我们的问答形式。我们希望答案得到事实、引用资料或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the
kubernetes - kubernetes 有没有办法等待 daemonset 准备好
我不确定 DaemonSet 中是否存在就绪条件。我的意思是，该 DaemonSet 拥有的所有 pod 都已准备就绪。我知道 kubectl wait ，不过好像不能检查 DaemonSet 的准
准备好 DOM 的 Javascript 模块模式
我正在编写一个 JS 模块模式来测试代码并帮助我使用 JS Fiddle 理解该模式。我不明白的是，为什么第 25 行和第 26 行的“私有(private)方法”在通过 DOM 就绪引用时，其值为未
jQuery (document).ready 不等待 DOM 准备好
标题中有一个非常微妙的动画。当第一次加载页面，或者使用 cmd+shift+r (mac) 刷新以清除缓存时，jQuery 似乎并没有等待 DOM 准备好。它在所有正常的 html/css 弹出之前启
c - 为 C 准备好 Emacs 设置
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开，visit the help center . 关闭 1
c - 为 C 准备好 Emacs 设置
很难说出这里要问什么。这个问题模棱两可、含糊不清、不完整、过于宽泛或夸夸其谈，无法以目前的形式得到合理的回答。如需帮助澄清此问题以便重新打开，visit the help center . 关闭 1
javascript - 我怎么知道 iframe/popup 内容已加载/准备好？
我有两个问题: 我如何知道框架的内容已准备就绪/已加载(如 $(document.ready()))？我如何知道弹出窗口 (window.open()) 内容已准备就绪/已加载(如 $(docume
javascript - 准备好 100 个文件比准备好 1 个文件好还是坏？
只是想知道 document.ready 调用的数量是否会影响页面加载速度。Gulp/Grunt 有没有办法通过删除单独的文档就绪函数来丑化/缩小 JS？最佳答案检查一下! 我没有发现 Chrom
javascript - 如何在 meteor 准备好 DOM 后执行辅助函数
我有一个的列表如下所示，它使用 Meteor.startup 填充了 find()。然后我得到这些的所有数据属性使用 data() 并将其放入一个对象中并尝试返回/console.log 它以
php - 使主题 wmpl 准备好 wpml-config
我正在使用 trego 主题。作为主题选项，您可以设置和更改将出现在站点中的文本(例如“版权文本”和“ Logo url”的文本)。我如何使用 WPML 制作多语言版本？我想通过 wpml-confi
php - Zend_Service_Twitter - 准备好 API v1.1
Zend_Service_Twitter 组件仍然适用于将于 2013 年 3 月 5 日弃用的 Twitters API v1.0。所以我想准备好我的新网站与 Twitter API 交互 v1.1
iframe - 告诉 Capybara 等待 iframe 加载完毕(准备好)
有没有一种优雅的方法来做到这一点？目前我只是使用自定义步骤 “并等待 10 秒”以绝对确定，有足够的时间让 iframe 做好准备。我不希望这个功能因为一个小的网络问题或 CPU 峰值而在我动力不足的
linux - novnc 准备好 : native websockets, Canvas 渲染
当我尝试在我的 VPS 上安装 Windows 时，我无法访问 Glish---图形网站控制台(但浏览器控制台可以工作)。当我打开 Glish 控制台时，提示: novnc ready: nativ
python - 如何确保使用 Python (pysdl2) 准备好 SDL2 全屏窗口？
生成新的全屏窗口时，相对于: sdl2.SDL_Init(sdl2.SDL_INIT_VIDEO) window = sdl2.ext.Window('win_name', (x_size, y_si
javascript - 使用 Knockout.js 准备好 jQuery 文档
我刚刚为我的最新项目投入了 Umbraco ASP.NET CMS，我不确定这是否是全面的，但对于我的设置，Knockout.js 正在做所有的模板。我不太热衷于 knockout.js，但到目前为
javascript - jQuery NewBie 问题 : What's the deal with $(document).(准备好)？
我是 jQuery 的新手，最近几天一直在尝试学习它。在我的办公室里，几乎没有经验丰富的 JavaScript 开发人员，他们主要使用 jQuery 来满足他们的所有需求，每当我找到他们并与他们交谈以
internet-explorer - powershell 可以等到 IE 准备好 DOM 吗？
我目前正在编写一个脚本，我正在使用 while($IE.busy) {Start-Sleep 1} 等待页面准备就绪。页面准备好后，我的脚本会填写并提交表单。我一直遇到问题，因为(我认为)IE 报告
javascript - 执行顺序是什么？ JQuery : $(document). 准备好(函数(){})； $(窗口).on ('load' , 函数 () { })
这个问题已经有答案了: window.onload vs $(document).ready() (17 个回答) 已关闭 3 年前。以下示例代码的执行顺序是什么？会$(window).on('lo

首页

博学

6Ren·AI

商城

sql - 带有 select_all 的 Rails 准备好的语句