2
我需要創建一個簡單的搜索,但我無法使用Sphinx。在自定義條件中對SQL進行消毒
這是我寫的:
keywords = input.split(/\s+/)
queries = []
keywords.each do |keyword|
queries << sanitize_sql_for_conditions(
"(classifications.species LIKE '%#{keyword}%' OR
classifications.family LIKE '%#{keyword}%' OR
classifications.trivial_names LIKE '%#{keyword}%' OR
place LIKE '%#{keyword}%')")
end
options[:conditions] = queries.join(' AND ')
現在,sanitize_sql_for_conditions不行!它只返回原始字符串。
如何重寫此代碼以轉義惡意代碼?
你是什麼意思,你不能使用獅身人面像?免費! – 2009-07-17 14:38:27