Arel.sqlを付けるだけじゃダメ!? Railsで"Dangerous query method …”の警告が出たときの対応方法 - Qiita

Ralsユーザーへの警告

「そうか、警告が出たらArel.sqlで囲めばいいんだな」と考えて機械的に適用していくのは とても危険 です。

伊藤さんのありがたきWARNING!

危険度チェックリスト

• SQLインジェクションが何かを理解しているか？
• 警告メッセージの内容をちゃんと理解しているか？
• Rails 5.2から上記の警告が入るようになった背景や目的を理解しているか？
• 上記の警告が出た場合、1つずつ警告が出たコードを確認しながら修正しているか？（機械的、盲目的に修正していないか？）

どれかひとつはNOに引っかかるでしょう！90%以上の人は。多分。

衝撃の事実

Dangerous query method は「自分で付ける安全マーク」だった！

そもそも、"Dangerous query method ..."の警告は「その呼び出し方は古いから新しい書き方に直せ」と言っているのではありません。

そうではなく、「その値が安全かどうかを確認した上で、安全なら（＝つまり、既知の安全な値なら）、Arel.sqlで囲め」と言っているのです。

チャットメンバー募集

何か質問、悩み事、相談などあればLINEオープンチャットもご利用ください。

https://line.me/ti/g2/eEPltQ6Tzh3pYAZV8JXKZqc7PJ6L0rpm573dcQ

Twitter

https://twitter.com/YumaInaura

公開日時

2018-12-17