所以我知道Rails在使用时有助于防止sql注入:
Object.find(:first, :conditions=>["name=?",name])
但是,我似乎无法找到自动生成的find_by和find_all_by方法是否会再次保护sql注入。
即:
Object.find_by_name(name)
所以这两个调用具有完全相同的结果。我的问题是即使第二个更方便,我应该继续使用第一个因为它提供了防止sql注入的保护,还是第二个也是这样做的?
答案 0 :(得分:8)
是的,基于动态属性的查找程序(find_by_*系列)执行保护您的应用免受sql注入。