我试图弄清楚如何在将其交给执行之前对SQL字符串进行参数化,但遗憾的是我在互联网上找到了很多of this:
sql = "SELECT * FROM table_name WHERE thing LIKE '%#{input}%'"
这是一件坏事......但是,在底层的Sequel库中可以参数化sql查询,这就是TinyTDS的基础。所以我知道这是可能的。我只是很难搞清楚。
我真的希望它可以像this一样简单:
@client = TinyTds::Client.new(
:adapter => 'sqlserver',
:host => host,
:database => db,
:username => username,
:password => password)
sql = "SELECT * FROM table_name WHERE thing LIKE ?"
safe_sql = @client.prepare(sql, input)
result = @client.execute(safe_sql)
我似乎在源代码中找到了一个名为Dataset的类,它有一个prepare方法。问题是,我该如何使用它?在将其移交给execute()对象中的@client方法之前,是否需要创建另一个对象?我找不到initialize或new方法,所以简单的实例化似乎是错误的方法。
答案 0 :(得分:2)
我用TinyTds作为适配器实现了Sequel gem。这允许您参数化SQL查询。见下面的例子:
require "tiny_tds"
require 'sequel'
DB = Sequel.connect(
adapter: 'tinytds',
host: "dataserver",
database: "database",
user: "username",
password: "password"
)
然后,我能够使用参数化的值创建一个SQL插入语句。
posts_table = DB[:posts]
posts_table.insert(:author => 'John Smith', :title => 'How to parametrize sql queries')
我正在连接到MS SQL数据库。