在 Rails 上安全地转义用于连接、限制、选择等（而非条件）的 SQL 片段的字符串

Question

在 Ruby on Rails 中，对于条件，很容易进行 SQL 注入防护查询：

:conditions => ["title = ?", title]

其中标题来自外部、来自 Web 表单或类似的东西。

但是，如果您在查询的其他部分使用 SQL 片段，例如：

:select => "\"#{title}\" AS title"   # I do have something like this in one instance
:joins => ["LEFT JOIN blah AS blah2 ON blah2.title = \"#{title}\""]

有没有办法正确转义这些字符串？

Answer 1

通常在 Rails 中，连接是作为表示 i​​d 连接的符号（或二阶连接的散列）完成的，并且您可以使用条件对其进行过滤。如果您需要如图所示执行此操作，则可以使用 ActiveRecord 的 sanitize_sql_array< /code>清理 SQL 字符串，如下所示：

sanitize_sql_array(["LEFT JOIN blah AS blah2 ON blah2.title = ?", @blah.title])