之前我用过
Model.create()
插入一行,现在,我想在Mysql中使用DELAYED选项。
但是,如果我写
ActiveRecord::Base.connection.execute("INSERT DELAYED INTO `TABLE` (`row`) VALUES (#{params[:id]})")
所以我得到了sql注入(inject)。如何预防呢?
最佳答案
使用connection.quote
id = ActiveRecord::Base.connection.quote(params[:id])
ActiveRecord::Base.connection.execute("INSERT DELAYED INTO `TABLE` (`row`) VALUES (#{id})")
关于mysql - 插入延迟及防止sql注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/6564433/