Q&A
次のようなコードで、シングルクォーテーションを含むSQL文字列をエスケープし、INSERTする、というものなのですが、
エラーが起きてしまいます。
どうしたら良いでしょうか?
コード
require 'mysql2' require "sqlite3" db = SQLite3::Database.new "noindex.db" puts str = %(Couldn't) # => INSERTできない。エラー。 # puts str = %(Couldnt) # => INSERTできる p Mysql2::Client.escape(str) # => エスケープはできている。型もString。 db.execute(%(INSERT INTO common ( title, created_at, updated_at ) VALUES ( '#{Mysql2::Client.escape(str)}', CURRENT_TIMESTAMP, CURRENT_TIMESTAMP );) )
エラー
C:/Ruby24-x64/lib/ruby/gems/2.4.0/gems/sqlite3-1.3.13-x64-mingw32/lib/sqlite3/database.rb:91:in `initialize': near "t": syntax error (SQLite3::SQLException) from C:/Ruby24-x64/lib/ruby/gems/2.4.0/gems/sqlite3-1.3.13-x64-mingw32/lib/sqlite3/database.rb:91:in `new' from C:/Ruby24-x64/lib/ruby/gems/2.4.0/gems/sqlite3-1.3.13-x64-mingw32/lib/sqlite3/database.rb:91:in `prepare' from C:/Ruby24-x64/lib/ruby/gems/2.4.0/gems/sqlite3-1.3.13-x64-mingw32/lib/sqlite3/database.rb:137:in `execute' from C:/pg/dev/crawler/dev.rb:11:in `<main>'
回答2件
0
正規表現を使うのはセキュリティ的にあまりよろしくありませんので、素直にプレースホルダを使いましょう。
ruby
1db.execute(%(INSERT INTO common ( 2 title, 3 created_at, 4 updated_at 5 ) VALUES ( 6 ?, 7 CURRENT_TIMESTAMP, 8 CURRENT_TIMESTAMP 9 );), str 10 )
投稿2018/07/08 13:01
総合スコア278
0
自己解決
MysqlとSQliteのエスケープシーケンスが異なるということに気づきました。
str=str.gsub(/'/,%(''))でいけました。
お騒がせしました。
投稿2018/07/08 08:44
総合スコア110
下記のような回答は推奨されていません。
このような回答には修正を依頼しましょう。