由于来自搜索的恶意输入,我看到了以下错误。
错误为
Mysql2::Error: Unknown column 'id.$invalid_param’ in 'where clause': SELECT `books`.* FROM `books ` WHERE `id`.`$invalid_param ` = '1' LIMIT 1
错误导致用户通过&book_ids[][$invalid_params]=1并导致GET请求失败,从而导致查找以下事件
Book.find_by(id: id)
允许值find_by的最佳方法是什么?或者是解决意外用户参数的更好解决方案