Ruby on rails开发从头来（四十六）- ActiveRecord基础（SQL和Active Record）

     想象一下Active Record是如何处理SQL的，我们来看看find方法的:conditions参数，调用的时候像这样：find(:all,:conditions=>…)，这里的:conditions参数决定了find方法将返回哪些记录，它相当于Sql语句的where部分，例如，要获取所有的名字为Dave，pay_type为po的订单，我们这样写：

pos = Order.find(:all,:conditions => "name = 'dave' and pay_type = 'po'")

find方法将返回所有符合条件的记录，并且都已经被转换成Order类的对象，如果没有符合条件的订单，find方法将返回一个长度为零的数组。

如果你的条件是预定的，那么上面的写法就很好了，但是如果我们要指定条件中的值呢，我们这样写：

# get the limit amount from the form

name = params[:name]

# DON'T DO THIS!!!

pos = Order.find(:all,:conditions => "name = '#{name}' and pay_type = 'po'")

但是，这并不是一个好主意，因为如果你的程序要发布在网络上的话，这样给SQL注入攻击留下了方便（后面我们在关于安全的主题里会讨论SQL注入的话题），更好的办法是，动态的生成SQL（注1），让Active Record来处理它，我们可以在SQL语句中加入占位符，然后这些占位符将会在运行期被替换成指定的值，指定占位符的方法就是在SQL中使用问号，在运行时，第一个问号将被替换为集合的第二个元素的值，以此类推，例如，我们把上面的查询重写一次：

name = params[:name]

pos = Order.find(:all,:conditions => ["name = ? and pay_type = 'po'", name])

 

我们也可以使用带名字的占位符，名字前带冒号，例如下面这样：

name = params[:name]

pay_type = params[:pay_type]

pos = Order.find(:all,

:conditions => ["name = :name and pay_type = :pay_type",

{:pay_type => pay_type, :name => name}])

我也可以更进一步，因为params是一个hash，我们可以让conditions部分更简单

pos = Order.find(:all,

:conditions => ["name = :name and pay_type = :pay_type", params])

 

不管使用哪种占位符，Active Record都会很小心地处理SQL中的引号和escape。使用动态SQL，Active Record会保护我们不受SQL注入攻击。

 

注1：这里的动态sql不同于oracle等数据库中所指的动态sql，其含义类似于ADO.net中不拼接sql字符串，而是传参数来防止sql注入攻击。