这对SQL注入(inject)安全吗:Guest.where(:event_id=>params[:id])我在发送params[:id]时没有进行任何类型的清理。一般来说，所有这些activerecord方法都安全吗？(如where、joins等。)如果不是，安全的最佳做法是什么？另外，是否有任何我应该注意的警告/边缘情况？谢谢 最佳答案 ActiveRecord的所有查询构建方法，如where、group、order等等，都可以安全地防止SQL注入(inject)ASLONGAS您不向它们传递原始SQL字符串。这容易受到SQL注

我正在尝试将一个简单的应用程序推送到heroku并运行:herokurakedb:migrate但是我得到以下错误:rakeaborted!PGError:ERROR:relation"posts"doesnotexist:SELECTa.attname,format_type(a.atttypid,a.atttypmod),d.adsrc,a.attnotnullFROMpg_attributeaLEFTJOINpg_attrdefdONa.attrelid=d.adrelidANDa.attnum=d.adnumWHEREa.attrelid='"posts"'::regclass

我想根据created_on>=somedateANDnameINsomelistofnames的组合查找记录。对于“>=”，我必须使用sql条件。对于“IN”，我必须使用条件散列，其中键是:name，值是名称数组。有没有办法将两者结合起来？ 最佳答案 您可以在rails2.1及更高版本中使用命名作用域ClassTest"created_on>2005-01-01"named_scope:named_fred,:conditions=>{:name=>"fred"}end那么你可以做Test.created_after_2005.n

我有一组STI子类继承自User基类。我发现在子类定义中的某些条件下，对子类的查询没有正确使用type条件。classUser在开发中加载Rails控制台时，它会按照我的预期进行:Admin:SELECT`users`.*FROM`users`WHERE`users`.`type`IN('Admin')但是当点击应用程序(localhost/pow)时，它缺少type条件，我明白了:Admin:SELECT`users`.*FROM`users`但在部署到暂存服务器时不是来自应用程序:Admin:SELECT`users`.*FROM`users`WHERE`users`.`type`

我开发了Sinatra应用程序并在那里使用ActiveRecord来处理数据库，但我遇到了一个问题。我为一个模型写了一个测试，它打破了SQLite3::CantOpenException:unabletoopendatabasefile使用以下代码在test_helper.rb中建立与数据库的连接:Dir.chdir('..')doActiveRecord::Base.establish_connection(db_config)end和ActiveRecord::Base.connected?为假。例如，如果我在连接建立后调用User.find(:all)，测试将通过并且Active

假设我有一个独立的用户模型和服务模型。我还有一个订单模型，用于保存用户为某项服务创建的订单。我想知道如何在Rails中正确创建订单条目。以下是我将如何创建一个订单条目，如果它只引用一个其他模型，比如用户。@order=current_user.orders.build(params[:order])@order.save现在，如果订单涉及多个模型(用户和服务)，我该怎么做？假设Order模型具有user_id和service_id属性，并且所有模型对象都正确标记了belongs_to和has_many关系。 最佳答案 @order=

我有一个应用程序，我想在其中覆盖我的许多模型的销毁行为。用例是用户可能有删除特定记录的合法需求，但实际上从数据库中删除该行会破坏影响其他相关模型的参照完整性。例如，系统的用户可能想要删除不再与之有业务往来的客户，但需要维护与该客户的交易。看来我至少有两个选择:将数据复制到必要的模型中，有效地对我的数据模型进行非规范化，这样删除的记录就不会影响相关数据。覆盖ActiveRecord的“销毁”行为以执行某些操作，例如设置一个标志指示用户“删除”了记录并使用此标志隐藏记录。我是否缺少更好的方法？选项1对我来说似乎是一个可怕的想法，但我很想听到相反的论据。选项2似乎有点像Rails，但我想知道

假设我有一个像这样的ActiveRecord关联:classCity没有州的城市应该是无效的。似乎这两个都是可能的验证:validates:state,presence:true#ORvalidates:state_id,presence:true我猜它们是相同的，因为:belongs_to创建方法state和state=state=设置state_id但是，我刚刚修复了一个失败的规范，方法是将其更改为检查id而不是对象。这两种验证方式都可以接受吗？如果是这样，您会在什么时候使用其中之一？ 最佳答案 validates:state将

当使用RailsActiveAdmingem显示资源时，我想显示另一个关联模型的表格。假设一个酿酒厂有很多:products。现在我想在Winery管理资源的show页面上显示关联的产品。我希望它是一个类似于我在Products资源的index上得到的表格。我让它工作了，但只能通过手动重新创建HTML结构，这很糟糕。是否有更简洁的方法来为关联资源的特定子集创建index表样式View？我有什么，有点糟透了:showtitle::namedo|winery|attributes_tabledorow:namerow(:region){|o|o.region.name}rows:prima

如果我在ActiveRecord中有一个包含子对象集合的对象，即classFoo然后我尝试针对该集合运行Array的find方法:foo_instance.bars.find{...}我收到:ActiveRecord::RecordNotFound:Couldn'tfindBarwithoutanID我假设这是因为ActiveRecord出于自己的目的劫持了find方法。现在，我可以使用detect并且一切正常。然而，为了满足我自己的好奇心，我尝试使用元编程显式窃取find方法一次运行:unbound_method=[].method('find').unbindunbound_met