Dans Rails, quand je veux trouver par une valeur donnée d'utilisateur et d'éviter l'injection SQL (échapper Apostrophes et similaires) que je peux faire quelque chose comme ceci:Rails injection SQL?
Post.all(:conditions => ['title = ?', params[:title]])
Je sais que d'une façon non sécuritaire de le faire (possible injection SQL) est la suivante:
Post.all(:conditions => "title = #{params[:title]}")
Ma question est, ne la méthode suivante empêche l'injection SQL ou non?
Post.all(:conditions => {:title => params[:title]})
Nous vous remercions de votre réponse directe. –