我正在尝试像这样的查询
def self.search(search, page = 1 )
paginate :per_page => 5, :page => page,
:conditions => ["name LIKE '%?%' OR postal_code like '%?%'", search, search], order => 'name'
end但是,当它运行时,会添加引号,导致sql语句如下所示
SELECT COUNT(*)
FROM "schools"
WHERE (name LIKE '%'havard'%' OR postal_code like '%'havard'%')):这样您就可以看到我的问题。我正在使用从未使用过的Rails 4和Postgres 9,因此不确定它是否与activerecord或postgres无关。
我该如何进行设置,以便'%my_search%'在最终查询中得到满意的结果?
Answers:
您的占位符将替换为字符串,并且操作不正确。
更换
"name LIKE '%?%' OR postal_code LIKE '%?%'", search, search与
"name LIKE ? OR postal_code LIKE ?", "%#{search}%", "%#{search}%"?该处将负责消毒
%和_内部的实例search将不会被清理。
不要使用conditionsRails 2 的语法,而使用Rails 4的where方法:
def self.search(search, page = 1 )
wildcard_search = "%#{search}%"
where("name ILIKE :search OR postal_code LIKE :search", search: wildcard_search)
.page(page)
.per_page(5)
end注意:上面使用参数语法而不是?占位符:这两个都应生成相同的sql。
def self.search(search, page = 1 )
wildcard_search = "%#{search}%"
where("name ILIKE ? OR postal_code LIKE ?", wildcard_search, wildcard_search)
.page(page)
.per_page(5)
end注意:使用ILIKE名称-LIKE的postgres不区分大小写版本
Movie.where("title ILIKE :s", s: search_string)它转换为SELECT 1 AS one FROM "movies" WHERE (title ILIKE 'test') LIMIT $1ActiveRecord(Rails 5.1.6)-请注意,ILIKE之后没有百分比符号)
search_string变量。我认为SELECT 1 AS one输出仅在Rails控制台中,或者您正在使用limit(1)?仅供参考:Rails 5.1.6存在安全问题,请改用5.1.6.2或5.1.7
尽管字符串插值将起作用,但由于您的问题指定了rails 4,因此您可能正在使用Arel并保持应用数据库不可知。
def self.search(query, page=1)
query = "%#{query}%"
name_match = arel_table[:name].matches(query)
postal_match = arel_table[:postal_code].matches(query)
where(name_match.or(postal_match)).page(page).per_page(5)
endActiveRecord非常聪明,足以知道所引用的参数?是一个字符串,因此将其用单引号引起来。正如一篇文章所建议的那样,您可以使用Ruby字符串插值法在字符串上填充所需的%符号。但是,这可能会使您遭受SQL注入(这很糟糕)。我建议您使用SQL CONCAT()函数来准备字符串,如下所示:
"name LIKE CONCAT('%',?,'%') OR postal_code LIKE CONCAT('%',?,'%')", search, search)
%附加/附加a )。它要么按预期工作,要么rails有一个严重的错误会影响这两种情况。
search绳子被消毒了吗?