rails find_by sql注入

时间:2012-03-16 11:48:51

标签: sql ruby-on-rails ruby sql-injection

所以我知道Rails在使用时有助于防止sql注入:

Object.find(:first, :conditions=>["name=?",name])

但是,我似乎无法找到自动生成的find_by和find_all_by方法是否会再次保护sql注入。

即:

Object.find_by_name(name)

所以这两个调用具有完全相同的结果。我的问题是即使第二个更方便,我应该继续使用第一个因为它提供了防止sql注入的保护,还是第二个也是这样做的?

1 个答案:

答案 0 :(得分:8)

是的,基于动态属性的查找程序(find_by_*系列)执行保护您的应用免受sql注入。