SQL Server匹配WHERE in子句中的值

Question

使用ruby tiny_tds gem，我连接到一个远程SQL Server数据库来获取一些记录。

我有一个传递给WHERE子句的值数组

names = ['Value Number1','800G'].join(',')

results = database.execute("SELECT * FROM Customers WHERE NAME IN(#{names})")

在执行上面的查询后，我得到了以下错误

Incorrect syntax near 'Number1'.

当我手动传递值而不是使用变量时，它会起作用

results = database.execute("SELECT * FROM Customers WHERE NAME IN('Value Number1','800G')")

我也想通过使用变量来使其具有功能性。提前感谢

Answer 1

指定变量时，将省略单引号。

在定义数组时，您需要指定单引号。

names = ["'Value Number1'", "'800G'"].join(',')

(对不起，我不熟悉ruby，但希望这篇文章能为您提供一个解决问题的思路。)

Answer 2

使用

names = ["Value Number1", "800G"].map{|i| 
    ActiveRecord::Base.connection.quote(i)
}.join(',')

请注意，ActiveRecord::Base.connection.quote对于转义引号很重要，否则会破坏您的代码。

但不管怎样，以这种方式注入参数并不是一个好的做法。尝试使用sanitize_sql_array和其他方法来避免SQL injection problems。

Answer 3

您生成的sql不正确。所以它应该是

names = 'Value Number1'，'800G'.join("'，'")

“数值1‘，'800G”

results = database.execute("SELECT * FROM Customers WHERE NAME IN('#{names}')")

database.execute("SELECT * FROM Customers WHERE NAME IN(‘值数字1’，'800G')")