1

我正在 Post 模型中编写 SQL 查询来搜索数据库以将查询与帖子的正文相匹配。我正在使用Brakemangem 来帮助审核应用程序的安全性,它返回的 SQL 查询易受注入攻击。

查询,

def self.search(search)
    where("body LIKE '%#{search}%'")
end

Post控制器,

if params[:search]
    @posts = Post.search(params[:search]).order("created_at    DESC").paginate(page: params[:page], per_page: 5)
else
4

1 回答 1

1

你应该使用这个:

def self.search(search)

        where("body LIKE ?", "%#{search}%")
end
于 2019-01-14T03:52:56.963 回答