我无法将查询多个值的值连接到一列。这是我走到这一步:Rails - find_by_sql - 使用多个值查询一个字段
def self.showcars(cars)
to_query = []
if !cars.empty?
to_query.push cars
end
return self.find_by_sql(["SELECT * FROM cars WHERE car IN (?)"])
end
这使得查询到:
SELECT * FROM cars WHERE car IN (--- \n- \"honda\"\n- \"toyota\"\n')
看来的find_by_sql sql_injection保护增加了额外的字符。我如何得到这个工作?
我试过加逗逗分开,它这样做 - ('本田\',''丰田')。再次看起来像SQL注入踢在哪个将导致零记录,因为本田\不存在。有一种方法可以做到这一点。之前有人必须经历过这一点。 – oprogfrogo 2010-11-18 23:27:35