我如何说服“开发人员”团队这有多糟糕?

时间:2013-06-11 16:05:03

标签: sql ruby-on-rails ruby activerecord sql-injection

无论我怎么努力,我都无法在这里说服其他人这样的错误和错误代码。一些评论会很好。

def addStudentToClass
 ActiveRecord::Base.connection.insert("INSERT INTO student_class (student_id, class_id, creator_id, created_at) VALUES (#{params[:student_id]}, #{params[:class_id]}, (SELECT creator_id FROM classes WHERE class_id = #{params[:class_id]}), NOW())")
 usrObj = User.find(params[:student_id]).load_goal_structures();
 render json: nil
end

非常感谢任何建设性意见。

1 个答案:

答案 0 :(得分:14)

这应该不难。向他们展示XKCD如果他们仍然没有得到它,就开始寻找另一份工作。

相关问题
最新问题