我的索引操作是
def index
@users = User.without_user(current_user)
end
其中without_user是范围
scope :without_user, lambda {|user| where("id <> :id", :id => user.id) }
我想知道这是否是最安全的实现方式还是易受攻击?
答案 0 :(得分:2)
看起来很好。如果数据是内插的,那么它应该是安全的,就像这里的情况一样。
答案 1 :(得分:2)
看起来不错,这里sql注入不起作用
注意另外,在Rails 4中,您可以不使用语法:
scope :without_user, lambda {|user| where.not(id: user.id) }