さくさん、こん＊＊は。

> まあ、外部からソート順を指定する別の識別名群を用意して、実際に:orderに
与える値はその
> 識別名から決定したほうが安全とは思います。

不特定多数に公開する場合は色々考えないと怖いかも、ですね。
で、実際には、複数のソートキーを設定したり、降順にしたり、色々とやりたい
こともあるので、ご指摘の通り受け渡しているのは識別名で、実際のソートキー
はcontroller側で決定するケースが多いです。


OZAWA Sakuro さんは書きました:
> さくです。
> 
> 外部から受け取った値を:orderにそのまま使ったら(AR::Baseのadd_order!)、
> Book.find(:all, :order => 'id; drop table users;')
> なんてことが出来てやばいかなと思ったのですが、
> 
> ActiveRecord::StatementInvalid: Mysql::Error: You have an error in
> your SQL syntax;
> check the manual that corresponds to your MySQL server version for the
> right syntax
> to use near 'drop table users' at line 1: SELECT * FROM `books`  ORDER
> BY id; drop table users;
> 
> となりました。大丈夫だと思ってよいのかな?
> 
> まあ、外部からソート順を指定する別の識別名群を用意して、実際に:orderに与える値はその
> 識別名から決定したほうが安全とは思います。
> 
> 2009年10月13日23:42 flyman <flyman@k...>:
> 
>> 私は、例えば表のタイトルがクリックされたときに次のようにソートのキーを渡し、
>> <th><%= link_to 'タイトル', :action => 'index' , :sortOrder => 'title'
>>  %></th>
>> @hogedatas = Hogedata.find(:all, :order => @sortOrder)
> 



--
ML: rails@r...
使い方: http://QuickML.com/