我正面临着这样一个奇怪的问题。请看看在代码无法从Rails中的数据库访问值
today_date = Time.now.strftime('%Y-%m-%d')
patient_id = session[:patient_id]
query = QueryContainedModel.find(:first, :conditions => ["query_type = ?", 'appointment_reminder'])
这上面的查询产生QUERY_VALUE下面的表单即QUERY_VALUE
query_value = "SELECT PATIENT.NAME AS 'first_name' FROM PATIENT, REMINDER WHERE PATIENT.ID = '#{session[:patient_id]}'
AND REMINDER.PATIENT_ID = '#{session[:patient_id]}' AND REMINDER.DATE >= '#{today_date}'"
不过,我不能在下面的代码
@value = ModelName.find_by_sql "#{query_value}"
@value.each do |value|
puts value.
end
你永远不应该插值那些进入查询,你打开注入攻击!什么是“QueryContainedModel”和“ModelName”? –