Rails详细介绍(十二)Sql语句

最新推荐文章于 2022-02-09 22:39:17 发布
最新推荐文章于 2022-02-09 22:39:17 发布
阅读量386 收藏
点赞数
文章标签: SQL Rails Oracle .net

    Active Record是如何处理SQL的,我们来看看find方法的:conditions参数,调用的时候像这样:find(:all,:conditions=>…),这里的:conditions参数决定了find方法将返回哪些记录,它相当于Sql语句的where部分,例如,要获取所有的名字为Dave,pay_type为po的订单,我们这样写: 

pos = Order.find(:all,:conditions => "name = 'dave' and pay_type = 'po'")

 

 

    find方法将返回所有符合条件的记录,并且都已经被转换成Order类的对象,如果没有符合条件的订单,find方法将返回一个长度为零的数组。

    如果你的条件是预定的,那么上面的写法就很好了,但是如果我们要指定条件中的值呢,我们这样写:

    

name = params[:name]

pos = Order.find(:all,:conditions => "name = '#{name}' and pay_type = 'po'")

 
     但是,这并不是一个好主意,因为如果你的程序要发布在网络上的话,这样给SQL注入攻击留下了方便,更好的办法是,动态的生成SQL(注1),让Active Record来处理它,我们可以在SQL语句中加入占位符,然后这些占位符将会在运行期被替换成指定的值,指定占位符的方法就是在SQL中使用问号,在运行时,第一个问号将被替换为集合的第二个元素的值,以此类推,例如,我们把上面的查询重写一次:

    

name = params[:name]

pos = Order.find(:all,:conditions => ["name = ? and pay_type = 'po'", name])

 
我们也可以使用带名字的占位符,名字前带冒号,例如下面这样:

  

name = params[:name]

pay_type = params[:pay_type]

pos = Order.find(:all,

:conditions => ["name = :name and pay_type = :pay_type",

{:pay_type => pay_type, :name => name}])

 我也可以更进一步,因为params是一个hash,我们可以让conditions部分更简单

 

 

pos = Order.find(:all,

:conditions => ["name = :name and pay_type = :pay_type", params])

 
   不管使用哪种占位符,Active Record都会很小心地处理SQL中的引号和escape。使用动态SQL,Active Record会保护我们不受SQL注入攻击。

 

   注1:这里的动态sql不同于oracle等数据库中所指的动态sql,其含义类似于ADO.net中不拼接sql字符串,而是传参数来防止sql注入攻击。

iteye_19239
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
原子的:ActiveRecord扩展,用于编写常用的原子SQL语句以避免竞争条件
02-05
支持Ruby2.2〜2.7 Rails 3.2、4.2、5.0、5.1、5.2、6.0 MySQL,PostgreSQL目录关系方法 模型方法安装将此行添加到您的应用程序的Gemfile中: gem 'atomically' 然后执行: $ bundle或自己安装为: $ gem install ...
rails在控制台输出sql语句
yanlinpu的博客
04-25 226
rails 2 ActiveRecord::Base.connection.instance_variable_set :@logger, Logger.new(STDOUT) >> ActiveRecord::Base.connection.instance_variable_set :@logger, Logger.new(STDOUT) => #<Logger:0xdeaf620 @progname=nil, @logdev=#<Logger::LogDevice:0.
sql中的if和else
热门推荐
北冥的博客
06-11 5万+
MySQL的IF既可以作为表达式用,也可在存储过程中作为流程控制语句使用,如下是做为表达式使用: IF表达式 IF(expr1,expr2,expr3) 如果 expr1 是TRUE (expr1 <> 0 and expr1 <> NULL),则 IF()的返回值为expr2; 否则返回值则为 expr3。IF() 的返回值为数字值或字符串值,具体情况视其所在语境而定。 SELECT IF(sva=1,"男","女") AS s FROM table_name WHERE sva
sql语句中where条件的if语句
weixin_45614626的博客
04-13 1万+
sql的时候,遇到一个情况,查询条件一共有三个,但是可能存在某个或某几个为空的情况,最初的想法是,在外边对三个变量进行非空判断,根据非空的变量类型分别调用对应的sql语句,但是这样的话,需要处理大量情况,还要写各种情况对应的sql语句,太麻烦,后来发现,可以利用if语句进行非空判断。 @Select({"select *", "from ***", "where if (#{identity}!=null,identity=#{identity},1=1)
sql中的IF ELSE使用方法
slb190623的博客
02-09 1万+
–没有bool值,只有条件表达式 –没有{},只有begin…end –可以多重,可以嵌套 –如果包含的语句只有一句,那么也可不适用begin…end –if或者else里面必须有处理语句,如没有报错 示例:–计算科目名称为office平均分数并输出,如果平均分数超过60分输出成绩最高的三个学生成绩,否则输出后三名学生的成绩 declare @subjectName varchar(20) = 'office' --定义科目为office declare @subjectID varchar(10) = (
Rails使用SQL语句查询
chongju9866的博客
03-15 380
##方法一:find_by_sql 返回对象数组 Article.find_by_sql("select * from articles join categories on articles.category_id=categories.id where articles.id=2") ...
浅谈Ruby on Rails下的rake与数据库数据迁移操作
09-21
但请注意,直接操作SQL语句可能会带来安全风险,因此应在开发环境进行充分测试,确保其在生产环境中的安全性和可靠性。 总结来说,Rails的Migration和rake工具在数据库管理和数据迁移中各自扮演着不同的角色。...
Rails中使用MySQL分区表一个提升性能的方法
09-10
创建分区表的SQL语句如下: ```sql CREATE TABLE `diet_items` ( `id` int(11) NOT NULL AUTO_INCREMENT, `schedule_id` int(11) NOT NULL, `meals_order` int(11) NOT NULL, `food_id` int(11) DEFAULT NULL, ...
rails-engine
04-09
:star: 无需ORM的帮助即可编写基本SQL语句 :star:建于入门克隆此仓库安装gem软件包: bundle install 种子。 可以在./db/data找到一个./db/data rails db:{drop,create,migrate,seed}运行RSpec测试套件: bundle ...
rails 查询 where条件用法
jing1141640389的博客
10-27 2350
rails 的where查询会返回 ActiveRecord::Relation 具体格式如下图片 他是一个数组的格式第一个参数是sql语句,第二个是查询出来的值,如果没有则为空 调用的时候如果想使用查询出来结果,使用方法如下 p 变量[1].uname 这代表显示查询出来的uanme字段 这个[1]表示使用返回结果的第二个参数也就是查询结果 关于where的详细使用看htt
rails 使用自定义SQL
产品人生
09-21 712
rails 使用自定义SQL# 更新用户信息 User.connection.execute("UPDATE users SET age = '#{self.age}',address = '#{self.address}' WHERE name = '张三' ")
Ruby HTML 表单语句
iteye_2749的博客
04-10 131
表单开始标签: :save }, { :method => :post } %> Use :multipart => true to define a Mime-Multipart form (for file uploads) 表单结束标签: 文本框 Text fields 生成: 实例: text_field "post", "title", "siz...
rails 中间表sql处理
jamst
10-12 87
中间表没有id想直接sql操作可以这样。   sql = ActiveRecord::Base.connection()    sql.update"UPDATE team_game SET game_id =#{game2.id} WHERE game_id = #{game1.id} and team_id =#{team1.id}"   sql.insert"insert into...
rails中执行sql语句
木鱼与代码
12-09 875
sql = ActiveRecord::Base.connection() sql.insert "INSERT INTO #{UC_DBTABLEPRE}members SET username='#{@user.uname}', password='#{password}', email='#{@user.email}', regip='1.1.1.1', sa...
rails console 命令的详细使用
最新发布
06-08
当您在终端中输入命令`rails console`时,将会打开您的Rails应用程序的控制台。在控制台环境中,您可以与应用程序进行交互,例如执行模型查询、操作数据库等。以下是更详细的使用方法: 1. 打开终端并进入您的Rails...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值