rails:3259
From: flyman <flyman@k...>
Date: Wed, 14 Oct 2009 10:43:05 +0900
Subject: [rails:3259] Re: 一覧表項目名をクリックしてソート
さくさん、こん**は。 > まあ、外部からソート順を指定する別の識別名群を用意して、実際に:orderに 与える値はその > 識別名から決定したほうが安全とは思います。 不特定多数に公開する場合は色々考えないと怖いかも、ですね。 で、実際には、複数のソートキーを設定したり、降順にしたり、色々とやりたい こともあるので、ご指摘の通り受け渡しているのは識別名で、実際のソートキー はcontroller側で決定するケースが多いです。 OZAWA Sakuro さんは書きました: > さくです。 > > 外部から受け取った値を:orderにそのまま使ったら(AR::Baseのadd_order!)、 > Book.find(:all, :order => 'id; drop table users;') > なんてことが出来てやばいかなと思ったのですが、 > > ActiveRecord::StatementInvalid: Mysql::Error: You have an error in > your SQL syntax; > check the manual that corresponds to your MySQL server version for the > right syntax > to use near 'drop table users' at line 1: SELECT * FROM `books` ORDER > BY id; drop table users; > > となりました。大丈夫だと思ってよいのかな? > > まあ、外部からソート順を指定する別の識別名群を用意して、実際に:orderに与える値はその > 識別名から決定したほうが安全とは思います。 > > 2009年10月13日23:42 flyman <flyman@k...>: > >> 私は、例えば表のタイトルがクリックされたときに次のようにソートのキーを渡し、 >> <th><%= link_to 'タイトル', :action => 'index' , :sortOrder => 'title' >> %></th> >> @hogedatas = Hogedata.find(:all, :order => @sortOrder) > -- ML: rails@r... 使い方: http://QuickML.com/
3248 2009-10-10 16:42 [moronatural@g... ] [ANN] Rails勉強会@東京を10/18、上野/御徒町の永和システムマネジメントにて開催します 3251 2009-10-13 03:31 ┗[dezawa@a... ] 一覧表項目名をクリックしてソート 3252 2009-10-13 03:40 ┣[sakaki@t... ] 3253 2009-10-13 10:02 ┃┗[dezawa@a... ] 3254 2009-10-13 10:41 ┃ ┗[sakaki@t... ] 3255 2009-10-13 14:07 ┃ ┗[dezawa@a... ] 3256 2009-10-13 16:42 ┗[flyman@k... ] 3257 2009-10-13 18:32 ┣[sakuro@2... ] -> 3259 2009-10-14 03:43 ┃┗[flyman@k... ] 3258 2009-10-14 02:39 ┗[dezawa@a... ] 3260 2009-10-14 04:03 ┗[flyman@k... ] 3261 2009-10-14 04:36 ┗[dezawa@a... ] 3262 2009-10-14 05:59 ┗[naopontan@g... ] 3264 2009-10-14 21:48 ┗[dezawa@a... ] 3268 2009-10-15 05:49 ┗[naopontan@g... ] 3270 2009-10-16 03:25 ┣[dezawa@a... ] 3272 2009-10-26 06:23 ┗[dezawa@a... ]