-2

3.5 和红宝石 1.8.7

我想知道如何仅使用 1 个文本字段创建多个搜索字段,它还可以从同一个表中搜索 4 列(名称、名称 2、姓氏、姓氏 2)

VALUES ====>  name, name2, last_name and last_name2
TABLE ====> PROJECTS

FOR EXAMPLE =>   "Jagjit Smith   Sgnit     Robertson"
                  :name  :name2 :last_name :last_name 2

                 "Jagjit Smith"
                  :name :name2

                 "Jagjit Roberton"
                  :name   :last_name2

                  "Sgnit     Robertson"
                 :last_name :last_name2

我做了我的控制器、模型和视图,但似乎我有 sql 注入问题,但我想要代码解决方案没有宝石,请有人可以编辑这个或帮助我解决这个问题???我搜索了许多帖子和解决方案,但适用于使用 gems 的 rails 3

 ***************HERE IS MY CONTROLLER****************
 Here some people told me that my code has vulnerability 
 is there any other way to make this code more cheape without write 24 conditions????

class ProjectsController < ApplicationController

def index
         @projects = Project.find(:all, :conditions => "(
          name LIKE \"#{params[:query]}%\" OR
          name2 LIKE \"#{params[:query]}%\" OR
          last_name LIKE \"#{params[:query]}%\"OR 
          last_name2 LIKE \"#{params[:query]}%\" OR 
          (concat(name, \" \", last_name) LIKE \"#{params[:query]}%\") OR
          (concat(name, \" \", name2    ) LIKE \"#{params[:query]}%\") OR 
          (concat(last_name, \" \", last_name2) LIKE \"#{params[:query]}%\") OR 
          (concat(name, \" \", name2, \" \",last_name, \" \",last_name2) LIKE \"#{params[:query]}%\") OR
          (concat(name, \" \", name2, \" \",last_name) LIKE \"#{params[:query]}%\")
                           )")
    end
 end

这是我的模型是空的我需要帮助在这里请也许其他示例或添加一些东西

       *****HERE IS MY MODEL***************

       class Project < ActiveRecord::Base

       end

这是我的观点,实际上它正在工作并且有 24 个条件,我需要解决漏洞问题的技巧,也不需要写很多条件

      ************HERE IS MY VIEW **************     

     <form name="search-form" id="search-form">
        <%= text_field_tag "query", params[:query], :autocomplete => 'on' %>
     </form>
4

1 回答 1

0

好的...现在如果您的搜索字符串很复杂,您可以使用一个名为 Squeel 的 gem。

结帐Squeel..

例如,

name LIKE \"#{params[:query]}%\"会变成name.like_any params[:query]

看看 Git 中心页面......他们有很多关于如何使用 Squeel 的例子......

于 2013-08-29T07:07:40.447 回答