Ruby on rails开发从头来(四十六)- ActiveRecord基础(SQL和Active Record)


想象一下Active Record是如何处理SQL的,我们来看看find方法的:conditions参数,调用的时候像这样:find(:all,:conditions=>…),这里的:conditions参数决定了find方法将返回哪些记录,它相当于Sql语句的where部分,例如,要获取所有的名字为Dave,pay_type为po的订单,我们这样写:

pos = Order.find(:all,:conditions => "name = 'dave' and pay_type = 'po'")

find方法将返回所有符合条件的记录,并且都已经被转换成Order类的对象,如果没有符合条件的订单,find方法将返回一个长度为零的数组。

如果你的条件是预定的,那么上面的写法就很好了,但是如果我们要指定条件中的值呢,我们这样写:

# get the limit amount from the form

name = params[:name]

# DON'T DO THIS!!!

pos = Order.find(:all,:conditions => "name = '#{name}' and pay_type = 'po'")

但是,这并不是一个好主意,因为如果你的程序要发布在网络上的话,这样给SQL注入攻击留下了方便(后面我们在关于安全的主题里会讨论SQL注入的话题),更好的办法是,动态的生成SQL(注1),让Active Record来处理它,我们可以在SQL语句中加入占位符,然后这些占位符将会在运行期被替换成指定的值,指定占位符的方法就是在SQL中使用问号,在运行时,第一个问号将被替换为集合的第二个元素的值,以此类推,例如,我们把上面的查询重写一次:

name = params[:name]

pos = Order.find(:all,:conditions => ["name = ? and pay_type = 'po'", name])


我们也可以使用带名字的占位符,名字前带冒号,例如下面这样:

name = params[:name]

pay_type = params[:pay_type]

pos = Order.find(:all,

:conditions => ["name = :name and pay_type = :pay_type",

{:pay_type => pay_type, :name => name}])

我也可以更进一步,因为params是一个hash,我们可以让conditions部分更简单

pos = Order.find(:all,

:conditions => ["name = :name and pay_type = :pay_type", params])


不管使用哪种占位符,Active Record都会很小心地处理SQL中的引号和escape。使用动态SQL,Active Record会保护我们不受SQL注入攻击。


注1:这里的动态sql不同于oracle等数据库中所指的动态sql,其含义类似于ADO.net中不拼接sql字符串,而是传参数来防止sql注入攻击。

上一篇 下一篇

评论



分享

最新加入

最新评论

隋中缘: @嘉嘉tiffany 性感乳神。 查看原文 06月13日 16:16