Ruby on rails开发从头来(四十六)- ActiveRecord基础(SQL和Active Record)
Posted on 2008-04-02 13:17 Cure 阅读(2299) 评论(0) 编辑 收藏 举报pos = Order.find(:all,:conditions => "name = 'dave' and pay_type = 'po'")
find方法将返回所有符合条件的记录,并且都已经被转换成Order类的对象,如果没有符合条件的订单,find方法将返回一个长度为零的数组。
如果你的条件是预定的,那么上面的写法就很好了,但是如果我们要指定条件中的值呢,我们这样写:
# get the limit amount from the form
name = params[:name]
# DON'T DO THIS!!!
pos = Order.find(:all,:conditions => "name = '#{name}' and pay_type = 'po'")
但是,这并不是一个好主意,因为如果你的程序要发布在网络上的话,这样给SQL注入攻击留下了方便(后面我们在关于安全的主题里会讨论SQL注入的话题),更好的办法是,动态的生成SQL(注1),让Active Record来处理它,我们可以在SQL语句中加入占位符,然后这些占位符将会在运行期被替换成指定的值,指定占位符的方法就是在SQL中使用问号,在运行时,第一个问号将被替换为集合的第二个元素的值,以此类推,例如,我们把上面的查询重写一次:
name = params[:name]
pos = Order.find(:all,:conditions => ["name = ? and pay_type = 'po'", name])
我们也可以使用带名字的占位符,名字前带冒号,例如下面这样:
name = params[:name]
pay_type = params[:pay_type]
pos = Order.find(:all,
:conditions => ["name = :name and pay_type = :pay_type",
{:pay_type => pay_type, :name => name}])
我也可以更进一步,因为params是一个hash,我们可以让conditions部分更简单
pos = Order.find(:all,
:conditions => ["name = :name and pay_type = :pay_type", params])
不管使用哪种占位符,Active Record都会很小心地处理SQL中的引号和escape。使用动态SQL,Active Record会保护我们不受SQL注入攻击。
注1:这里的动态sql不同于oracle等数据库中所指的动态sql,其含义类似于ADO.net中不拼接sql字符串,而是传参数来防止sql注入攻击。