好的,我有一个问题需要解决。
conditions = {}
conditions[:state] = params[:state] if params[:state]
@apps = current.apps.paginate(:include => :user, :conditions => conditions, :order => "users.first_name, users.last_name")
我的路由文件具有以下内容:
map.apps_wishlist '/apps/wishlist', :controller => 'apps', :action => 'index', :state => 'wishlist'
由于我正在发送字符串,出于安全原因我是否应该以某种方式转义sql,如果是的话,最好的方法是什么
有人建议认为当将params[:state]放入SQL查询时,应进行转义,以提高安全性