学习笔记

一、 RVM 自动切换版本
项目目录,建立一个 .rvmrc 文件。
在这个文件里可以很简单的加一个命令:
rvm use 1.9.2
进入到这个目录就会自动切换版本

二、 rails2 发现的注入漏洞
Question.find(:first, :conditions => { :id => { "questions.id" => 1 }})
生成的 SQL 语句是 SELECT * FROM `questions` WHERE (`questions`.`id` = 1) LIMIT 1 这样已经忽略了真正的 id 参数!完全可以由得到此表的任何数据。解决方法:转换传入参数的类型,数字参数要 to_i 字符串参数要 to_s 这样可以过滤掉客户端传入的哈希。

三、 rails3.0 发现的注入漏洞
Post.where(:id => { :posts => {:author_id => 10} }).first
生成的 SQL 语句是 SELECT * FROM ‘posts’ WHERE (‘ posts.author_id = 10 LIMIT 1 已经忽略了 id 参数。解决方法:转换传入参数的类型,数字参数要 to_i 字符串参数要 to_s 这样可以过滤掉客户端传入的哈希。

四、 解决大量数据循环操作问题
假设你有个百万级别客户的电商网站,假设每个用户对象需要 500 字节,上面的代码会在运行的时候消耗 500M 内存,更好的方式是使用 Member.all.find_each 方法代替 Member.all.each ,一次性加载 1000 ( 默认 ) 记录到内存中处理,直到将所有数据都处理完, find_each 有两个参数:
batch_size: 一次加载的数据,默认是 1000
start:
统一个处理队列中,开启多个 workers?

五、 常用插件

a)        用户插件 http://github.com/plataformatec/devise

b)        权限插件 https://github.com/ryanb/cancan

用户插件与权限插件整合的例子
https://github.com/RailsApps/rails3-bootstrap-devise-cancan

六、一个避免出现危险的书写习惯

这种写法忽略掉了用户id的判断,应该避免这种书写习惯

ship_add =  OrderAddress.find_by_id(id)

ship_add.destroy

应该改成这种书写习惯

ship_add = member_curr.order_address.find_by_id(id)

ship_add.destroy

七、一个没理解的问题

为什么1-0.99得到的结果不是0.01 ?

1-0.99
=> 0.010000000000000009

八、ruby的try方法

尝试执行某些代码,可以避免产生意外错误!看好了!这不是java的异常处理方法!

通常我们要获取某个对象的属性 为了保证安全性一定要先判断对象本身是否为空

@person && @person.name 
#或者 
@person ? @person.name : nil

#新的写法
@person.try(:name)
#还接受参数和代码块
Person.try(:find, 1)
@people.try(:collect) {|p| p.name}
@person.try { |p| "#{p.first_name} #{p.last_name}" }

九、查询某条数据的前后N条数据

def self.get_side_logs(id, limit = 5)
    sql = <<-EOF
    (SELECT * FROM sign_in_logs WHERE id < #{id} ORDER BY id DESC LIMIT #{limit})
    UNION ALL
    (SELECT * FROM sign_in_logs WHERE id > #{id} ORDER BY id LIMIT #{limit})
    ORDER BY ID ;
    EOF
    
    find_by_sql(sql)
end 

十、字符串的单数复数转换

"Business".singularize  => "Busines" # 转单数
"moose".pluralize => "mooses"  # 转复数
 

十一、Gemfile文件

#source定义bundler的资源,默认使用的是 在国内某些地区访问外国很慢可以改成淘宝源
source 'https://rubygems.org'
source 'http://ruby.taobao.org'

# 第二个参数可以指定版本
gem "rails", "3.0.4" 

# 也可以不指定版本,这样会安装最新版本
gem 'mysql2'
  
# 如果 require 的包名不同,可以加上 :require明确指定包名
gem "sqlite3-ruby", :require => "sqlite3"

# 可以用 Git 做来源,甚至可以指定 branch, tag 或 ref。
gem 'authlogic', :git => 'git://github.com/odorcicd/authlogic.git', :branch => 'rails3'

# 也可以直接指定路径
# gem "rails", :path => '/users/local/github/rails'

# Group 功能可以根据不同环境载入
group :development, :test do
   gem "rspec", "~> 2.0"
   gem "rspec-rails", "~> 2.0"
end

#版本号的指定方式除了特定版本,还可以指定大于等于某个版本
gem "rails", ">= 2.3.5"

#最建议的方式是使用~>语法,意思是x.y固定,但可以大于等于z。 例如~>1.3.5 意思是1.3.5,1.3.6, 1.3.9可以安装,但是1.4.0, 2.0.1不可以安装。
#x版本号升级表示有API发生不可向后的兼容性变动,y版本号升级表示有新功能增加,z版本号升级表示bug修正。因此这种写法可以让我们更有弹性的升级。
gem "rspec", "~> 2.0"
 

十二、instance_of?和kind_of?方法的区别

    module M;    end
    class A
      include M
    end
    class B < A; end
    class C < B; end
    b = B.new
    b.instance_of? A   #=> false
    b.instance_of? B   #=> true
    b.instance_of? C   #=> false
    b.instance_of? M   #=> false
    b.kind_of? A       #=> true
    b.kind_of? B       #=> true
    b.kind_of? C       #=> false
    b.kind_of? M       #=> true
 

十三、方法中判断调用时是否传递了yield

 

if block_given?
      tree.each do |board, level|
        yield board, level
      end
    end
 

 

你可能感兴趣的:(学习笔记)