3行まとめ Railsのsanitize_sql_likeを読む %と_をサニタイズしてくれる関数 where本体のサニタイズについても今後読んでいきたい SQLのサニタイズ Webアプリで、SQLインジェクションを防ぐというのはセキュリティ上とても大事ですよね。 趣味開発の中でインジェクションについて調べているとこんな文章を見かけました。 上の例は、ユーザーが指定した文字列で始まるタイトルに一致することを意図しています。しかし、>params[:title]に含まれる%または_はワイルドカードとして扱われるため、意外な結果をもたらします。状況によっては、データベースがインデックスを使用できなくなるため、クエリが大幅に遅くなる可能性があります。 これらの問題を回避するには、sanitize_sql_likeを使用して関連する引数のワイルドカード文字をエスケープします。 サニタイズについて整