这是来自 MH 的《Ruby on Rails 教程》的代码:
def feed
following_ids = "SELECT followed_id FROM relationships
WHERE follower_id = :user_id"
Micropost.where("user_id IN (#{following_ids})
OR user_id = :user_id", user_id: id)
end
这个SQL语句是否安全?因为很多人告诉我永远不要使用插值,而是使用转义代码(在这种情况下使用?)。所以这段代码是否安全?