W Rails, gdy chcę znaleźć przez użytkownika danej wartości i uniknąć SQL injection (uciec apostrof i tym podobne) można zrobić coś takiego:Rails SQL injection?
Post.all(:conditions => ['title = ?', params[:title]])
wiem, że niebezpieczny sposób to zrobić (możliwe SQL injection) to:
Post.all(:conditions => "title = #{params[:title]}")
Moje pytanie brzmi, czy następująca metoda zapobiega iniekcji SQL, czy nie?
Post.all(:conditions => {:title => params[:title]})
Dziękuję za bezpośrednią odpowiedź. –