我正在尝试创建一个自定义日期验证以防止SQL注入(因为rails不提供一个,我宁愿了解正在发生的事情,而不是依靠gem来获取基本的东西)。
两个问题:
1)是否有必要验证日期,因为rails似乎会自动将日期输入转换为日期对象。在控制台中,无效日期不会保存。
2)如果有必要,是value.acts_like_date吗?足以验证,还是我错过了什么?
答案 0 :(得分:0)
自rails 3.0以来,客户端的所有数据轨道进程都会自动转义(默认情况下)。如果防止SQL注入是你的目标,你应该是金,而不是为它编写任何特定的验证。
请参阅http://guides.rubyonrails.org/security.html#sql-injection