Rails 4 LIKE запроса - ActiveRecord добавляет кавычки

Я пытаюсь сделать как запрос типа такRails 4 LIKE запроса - ActiveRecord добавляет кавычки

def self.search(search, page = 1) 
    paginate :per_page => 5, :page => page, 
    :conditions => ["name LIKE '%?%' OR postal_code like '%?%'", search, search], order => 'name' 
end

Но когда он запускается что-то добавляет кавычки, которые вызывают заявление SQL, чтобы выйти, как так

SELECT COUNT(*) 
FROM "schools" 
WHERE (name LIKE '%'havard'%' OR postal_code like '%'havard'%')):

Таким образом, вы можете видеть мою проблему. Я использую Rails 4 и Postgres 9, оба из которых я никогда не использовал, поэтому не уверен, что это и вещь activerecord или, возможно, вещь postgres.

Как я могу установить это, поэтому у меня есть '%my_search%' в конце запроса?

источник

2013-09-30 hforbess

179

Ваш заменитель заменен на строку, и вы не обрабатываете ее правильно.

Заменить

"name LIKE '%?%' OR postal_code LIKE '%?%'", search, search

"name LIKE ? OR postal_code LIKE ?", "%#{search}%", "%#{search}%"

источник

2013-09-30 23:57:17 rb512

не это уязвимы для SQL инъекций? Я имею в виду, что эти «поисковые» строки дезинфицируются? – jdscosta91

@ jdscosta91 '?' В том, где позаботится о дезинфекции – house9

@ home9 экземпляры '%' и '_' внутри' search' не будут дезинфицированы под этим подходом. –

Попробуйте

def self.search(search, page = 1) 
    paginate :per_page => 5, :page => page, 
     :conditions => ["name LIKE ? OR postal_code like ?", "%#{search}%","%#{search}%"], order => 'name' 
    end

См docs об условиях AREL для получения дополнительной информации.

источник

2013-09-30 23:57:49 tihom

Вместо того чтобы использовать conditions синтаксис из Rails 2, использует в рельсах 4 where метода вместо того, чтобы:

def self.search(search, page = 1) 
    wildcard_search = "%#{search}%" 

    where("name ILIKE :search OR postal_code LIKE :search", search: wildcard_search) 
    .page(page) 
    .per_page(5) 
end

Примечания: выше использует синтаксис параметра вместо? placeholder: они должны генерировать тот же sql.

def self.search(search, page = 1) 
    wildcard_search = "%#{search}%" 

    where("name ILIKE ? OR postal_code LIKE ?", wildcard_search, wildcard_search) 
    .page(page) 
    .per_page(5) 
end

Примечание: с помощью ILIKE для имени - Postgres регистронезависимы версия LIKE

источник

2013-10-01 00:07:59 house9

Хотя строка интерполяции будет работать, так как ваш вопрос задает рельсы 4, вы можете использовать Arel для этого и сохранить вашу базу данных приложения агностик.

def self.search(query, page=1) 
    query = "%#{query}%" 
    name_match = arel_table[:name].matches(query) 
    postal_match = arel_table[:postal_code].matches(query) 
    where(name_match.or(postal_match)).page(page).per_page(5) 
end

источник

2013-12-15 01:59:18 numbers1311407

Должно быть очень просто создать func, чтобы сделать это динамически со списком атрибутов – cevaris

Untested, хотя это может быть что-то вроде этого: scope search_attributes, -> (query, attributes) { arel_attributes = attributes.map {| a | arel_table [a]} arel_queries = arel_attributes.map {| a | a.matches (query)} return where (arel_queries.reduce {| res, q | res.or q}) } –

-1

.find(:all, where: "value LIKE product_%", params: { limit: 20, page: 1 })

источник

2016-12-28 08:14:07 Jeff

ActiveRecord достаточно умен, чтобы знать, что параметр ссылается ? является строкой, и поэтому он заключает ее в одинарные кавычки. Вы, , могли бы, поскольку одно сообщение предлагает использовать интерполяцию строк Ruby для заполнения строки с обязательными символами %. Однако это может привести к SQL-инъекции (что плохо). Я хотел бы предложить вам использовать функцию SQL CONCAT() подготовить строку следующим образом:

"name LIKE CONCAT('%',?,'%') OR postal_code LIKE CONCAT('%',?,'%')", search, search)

источник

2017-03-28 12:50:27

Я только что реализовал это в приложении, и он отлично поработал. Спасибо, Джон. – fuzzygroup

Rails 4 LIKE запроса - ActiveRecord добавляет кавычки

ответ

Смежные вопросы