我在我的数据库中存储了像select * from classes where owner_id = #{@current_user.id}这样的sql。
任何人都可以告诉我如何将上面的sql写成ruby代码,以便#{@current_user.id}可以动态替换为当前签名用户的id吗?
答案 0 :(得分:0)
没有任何安全/输入验证,你可以这样做:
q_template = "select * from classes where owner_id = %s"
并“填充”它,你可以这样做:
sample_input = "40"
new_query = q_template % sample_input
# this will create q_template = "select * from classes where owner_id = 40"
如果你最终使用它,请确保在将输入提供给数据库之前检查输入是否有恶意。