我正在尝试在rails中对某些记录进行排序,并且我正在传递类似created_at DESC的内容作为参数,并且想知道 - 是否正确地将ActiveRecord转义为SQL,或者这是一种不好的做法它?我尝试用?替换,就像我通常用字符串做的那样,但是虽然我可以让它在SQLite中工作,但PG却犯了一个错误。
这就是我正在做的工作 - 但想知道它是否安全?
if params[:by]
@photos = Photo.find(:all, :order => params[:by])
else
...
答案 0 :(得分:2)
如果您像上面一样使用Active Record Query Interface,Rails将执行SQL清理。见http://guides.rubyonrails.org/active_record_querying.html