rails:3257
From: OZAWA Sakuro <sakuro@2...>
Date: Wed, 14 Oct 2009 01:32:00 +0900
Subject: [rails:3257] Re: 一覧表項目名をクリックしてソート
さくです。 外部から受け取った値を:orderにそのまま使ったら(AR::Baseのadd_order!)、 Book.find(:all, :order => 'id; drop table users;') なんてことが出来てやばいかなと思ったのですが、 ActiveRecord::StatementInvalid: Mysql::Error: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'drop table users' at line 1: SELECT * FROM `books` ORDER BY id; drop table users; となりました。大丈夫だと思ってよいのかな? まあ、外部からソート順を指定する別の識別名群を用意して、実際に:orderに与える値はその 識別名から決定したほうが安全とは思います。 2009年10月13日23:42 flyman <flyman@k...>: > 私は、例えば表のタイトルがクリックされたときに次のようにソートのキーを渡し、 > <th><%= link_to 'タイトル', :action => 'index' , :sortOrder => 'title' > %></th> > @hogedatas = Hogedata.find(:all, :order => @sortOrder) -- OZAWA Sakuro "The future will be better tomorrow." --Dan Quayle -- ML: rails@r... 使い方: http://QuickML.com/
3248 2009-10-10 16:42 [moronatural@g... ] [ANN] Rails勉強会@東京を10/18、上野/御徒町の永和システムマネジメントにて開催します 3251 2009-10-13 03:31 ┗[dezawa@a... ] 一覧表項目名をクリックしてソート 3252 2009-10-13 03:40 ┣[sakaki@t... ] 3253 2009-10-13 10:02 ┃┗[dezawa@a... ] 3254 2009-10-13 10:41 ┃ ┗[sakaki@t... ] 3255 2009-10-13 14:07 ┃ ┗[dezawa@a... ] 3256 2009-10-13 16:42 ┗[flyman@k... ] -> 3257 2009-10-13 18:32 ┣[sakuro@2... ] 3259 2009-10-14 03:43 ┃┗[flyman@k... ] 3258 2009-10-14 02:39 ┗[dezawa@a... ] 3260 2009-10-14 04:03 ┗[flyman@k... ] 3261 2009-10-14 04:36 ┗[dezawa@a... ] 3262 2009-10-14 05:59 ┗[naopontan@g... ] 3264 2009-10-14 21:48 ┗[dezawa@a... ] 3268 2009-10-15 05:49 ┗[naopontan@g... ] 3270 2009-10-16 03:25 ┣[dezawa@a... ] 3272 2009-10-26 06:23 ┗[dezawa@a... ]