使用有什麼區別？在ActiveRecord中清理字段時使用％？

Question

我對使用問號的區別感到困惑，例如

Foo.find(:all, :conditions => ['bar IN (?)', @dangerous]) 

和使用的sprintf風格字段類型，例如

Bar.find(:all, :conditions => ['qux IN (%s)', @dangerous]) 

in sanitizing inputs。是否有任何安全優勢，如果你知道你正在尋找一個數字 - 比如ID--而不是字符串，使用％d嗎？或者當字符串出現時你只是要求一個嚴重錯誤的錯誤？

使用Rails 3和4中的newer.where語法，這是否完全改變？

Answer 1

%s適用於字符串。主要區別在於%s不會加引號。從ActiveRecord::QueryMethods.where：

Lastly, you can use sprintf-style % escapes in the template. This works slightly differently than the previous methods; you are responsible for ensuring that the values in the template are properly quoted. The values are passed to the connector for quoting, but the caller is responsible for ensuring they are enclosed in quotes in the resulting SQL. After quoting, the values are inserted using the same escapes as the Ruby core method Kernel::sprintf .

例子：

User.where(["name = ? and email = ?", "Joe", "joe@example.com"]) 
# SELECT * FROM users WHERE name = 'Joe' AND email = 'joe@example.com'; 

User.where(["name = '%s' and email = '%s'", "Joe", "joe@example.com"]) 
# SELECT * FROM users WHERE name = 'Joe' AND email = 'joe@example.com'; 

更新：

你傳遞一個數組。 %s似乎對參數調用.to_s所以這可能並不如預期的工作：

User.where("name IN (%s)", ["foo", "bar"]) 
# SELECT * FROM users WHERE (name IN ([\"foo\", \"bar\"])) 

User.where("name IN (?)", ["foo", "bar"]) 
# SELECT * FROM users WHERE (name IN ('foo','bar')) 

對於簡單的查詢，你可以使用哈希符號：

User.where(name: ["foo", "bar"]) 
# SELECT * FROM users WHERE name IN ('foo', 'bar') 

Answer 2

據我所知，%s只需插入進入您的查詢，無論@dangerous.to_s碰巧是，而你是負責任的。

例如，如果@dangerous是一個整數數組，那麼你會得到一個SQL錯誤：

@dangerous = [1,2,3] 
User.where("id IN (%s)", @dangerous) 

會導致以下不正確的語法：

SELECT `users`.* FROM `users` WHERE (id IN ([1, 2, 3])) 

而：

User.where("id IN (?)", @dangerous) 

產生正確的查詢：

SELECT `users`.* FROM `users` WHERE (id IN (1,2,3)) 

因此，在我看來，除非你知道得非常好，你在做什麼，你應該讓?運營商完成其工作，特別是如果你不信任的@dangerous是安全的內容。