Ich habe Probleme, die Werte für die Abfrage mehrerer Werte zu einer Spalte beizutreten. Hier ist, was ich habe, so weit:Rails - find_by_sql - Abfrage mit mehreren Werten für ein Feld
def self.showcars(cars)
to_query = []
if !cars.empty?
to_query.push cars
end
return self.find_by_sql(["SELECT * FROM cars WHERE car IN (?)"])
end
, dass die Abfrage in macht:
SELECT * FROM cars WHERE car IN (--- \n- \"honda\"\n- \"toyota\"\n')
Es scheint find_by_sql sql_injection Schutz die zusätzlichen Zeichen hinzufügt. Wie bekomme ich das zum Laufen?
Ich habe versucht, mit Komma getrennt und es tut dies - ('Honda \', \ 'Toyota'). Wieder scheint die sql-Injektion zu treten, was zu null Datensätzen führt, weil honda \ nicht existiert. Es muss einen Weg geben, dies zu tun. Jemand muss das schon einmal erlebt haben. – oprogfrogo