我無法將查詢多個值的值連接到一列。這是我走到這一步:Rails - find_by_sql - 使用多個值查詢一個字段
def self.showcars(cars)
to_query = []
if !cars.empty?
to_query.push cars
end
return self.find_by_sql(["SELECT * FROM cars WHERE car IN (?)"])
end
這使得查詢到:
SELECT * FROM cars WHERE car IN (--- \n- \"honda\"\n- \"toyota\"\n')
看來的find_by_sql sql_injection保護增加了額外的字符。我如何得到這個工作?
我試過加逗逗分開,它這樣做 - ('本田\',''豐田')。再次看起來像SQL注入踢在哪個將導致零記錄,因爲本田\不存在。有一種方法可以做到這一點。之前有人必須經歷過這一點。 – oprogfrogo 2010-11-18 23:27:35