[ruby-it] ruby + mysql
Matteo Vaccari
vaccari a pobox.com
Mar 4 Ago 2009 21:16:50 CEST
On Sat, Aug 1, 2009 at 1:35 PM, Antonio Cangiano<acangiano a gmail.com> wrote:
> 2009/8/1 Antonio Cangiano <acangiano a gmail.com>
>
>> Se valore è una stringa, assicurati di usare '#{valore}' con gli apici
>> nella stringa sql.
>>
>
> Chiarisco ulteriormente. Se il campo corrispondente nel database si aspetta
> un valore testuale (ad esempio, se è stato definito come VARCHAR) allora ti
> servono gli apici.
Sì ma occhio che la stringa che vai a incollare dentro la tua query
non contenga a sua volta degli apici!!! Altrimenti rischi che la tua
query fallisca, o anche peggio (è una maniera di "sabotare" le
applicazioni: http://en.wikipedia.org/wiki/SQL_injection).
Ciao,
Matteo
More information about the Ml
mailing list