Railsで直書きのSQL文字列をサニタイズする方法 どもども!ノヴァちゃんです! Railsでは基本的にActiveRecordを利用してSQLを扱うと思いますが、 通常:conditionsパラメータに値を渡すことで、内部で勝手にサニタイズ処理をしてくれます。 Profile.find(:all, :conditions => {:name => "ノヴァ'ちゃん"}) ; # => "ノヴァ''ちゃん" しかし、複雑なSQLや、OR句を用いてSQL文を構築したい場合、 どうしても:conditionsに文字列そのものを渡したくなることがあります。 たとえばこんなSQL文を投げたいとき。 SELECT * FROM profiles WHERE is_live = 1 AND (country = 'Japan' OR contry = 'America') ; まぁ正直この場合も