ruby-on-rails - Ruby on Rails : How to sanitize a string for SQL when not using find?

Question

如果可能的话，我正在尝试清理涉及用户输入的字符串，而不必求助于手动制作我自己的可能有问题的正则表达式，但是，如果这是唯一的方法，如果有人能指出我正确的方向，我也将不胜感激不太可能丢失任何东西的正则表达式。 Rails 中有许多方法可以让您输入 native SQL 命令，人们如何转义用户输入？

我问的问题很广泛，但在我的特定情况下，我正在处理 Postgres 数据库中的一列，据我所知，Rails 本身并不理解该列，即 tsvector，它包含纯文本搜索信息。 Rails 能够像字符串一样写入和读取它，但是，与字符串不同的是，当我在模型中执行诸如 vector= 之类的操作时，它似乎不会自动转义它。

例如，当我执行 model.name='::'，其中 name 是一个字符串时，它工作正常。当我做 model.vector='::' 它错误:

ActiveRecord::StatementInvalid: PGError: ERROR:  syntax error in tsvector: "::"
"vectors" = E'::' WHERE "id" = 1

这似乎是由于缺少分号转义导致的问题，我可以手动设置 vector='::' 很好。

我也有一个好主意，也许我可以这样称呼:

ActiveRecord::Base.connection.execute "UPDATE medias SET vectors = ? WHERE id = 1", "::"

但是，此语法不起作用，因为原始 SQL 命令无权使用 ?标记。

这让我觉得与使用任何类型的用户输入调用 connection.execute 相同的问题，因为这一切都归结为清理字符串，但我似乎找不到任何方法来手动调用 Rails 的 SQL 字符串清理方法。任何人都可以提供任何建议吗？

Answer 1

将此方法添加到您的模型中:

class Media < ActiveRecord::Base
  def self.execute_sql(*sql_array)     
    connection.execute(send(:sanitize_sql_array, sql_array))
  end
end

现在您可以执行任何 SQL，例如:

Media.execute_sql('UPDATE medias SET vectors = ? WHERE id = 1', '::')

引用

1) sanitize_sql_array