使用带有连接的占位符

我试图通过在连接上替换我的参数来避免任何SQL注入漏洞。

Category.joins("LEFT OUTER JOIN incomes ON incomes.category_id = categories.id AND incomes.dept_id = ?", params[:Dept])

这会尝试在其中执行带有问号的查询，而不是将其替换为param。这样做的正确方法是什么？

编辑：

查询需要返回：

 SELECT categories.* FROM "categories" LEFT OUTER JOIN incomes ON incomes.category_id = categories.id AND incomes.dept_id = 86

不

 SELECT categories.* FROM "categories" LEFT OUTER JOIN incomes ON incomes.category_id = categories.id WHERE incomes.dept_id = 86

结果非常不同！

一种选择是使用sanitize_sql_array方法。但是，它是一种受保护的方法，所以在您的类别模型上，您可以这样做：

 class Category < ActiveRecord::Base def self.income_for_dept(dept) Category.joins(sanitize_sql_array(["LEFT OUTER JOIN incomes ON incomes.category_id = categories.id AND incomes.dept_id = ?", dept])) end end

然后你会称之为：

 Category.income_for_dept(params[:Dept])

如果需要，Ruby提供了一些其他方法来获取该方法，而无需在Category中创建类方法。

尝试

 Category.joins(:incomes).where(:incomes => { :dept_id => params[:Dept] })

并查看Rails文档以获取连接表。

使用带有连接的占位符

需要使用范围嵌套连接的ActiveRelation

无法在Rails中加入自联接表

选择Active Record中的内部连接的所有列

Ruby在哈希中组合元素

Rails：has_many：through或has_many_and_belongs_to？

rails加入多态关联

使用Ruby / Rails ORM建模inheritance

与ActiveRecord和Rails 3的复杂JOIN

Rails：如何选择没有特定相关（关联）对象的记录（SQL EXISTS简要操作方法）

两个表作为Rails中的一个模型