mysql - 使用模型搜索特定字段

Question

所以我尝试在模型中编写一个方法，允许我返回具有大于 0 的特定字段值的帖子。

所以我的帖子中的字段本质上是标签。基本上我的帖子有四个领域，hiphop，electro，house和pop。每个字段的值都在 0 到 10 之间。

我正在努力做到这一点，如果有人点击显示“Hip Hop” View 的按钮，它将返回所有 hiphop 字段值大于 0 的帖子。

我知道这是错误的，但我在想这样的事情

  def self.tagSearch(query)
    where("#{query} > 0")
  end

在我的 Controller 中我会有这样的东西

  def index
    if params[:search]
      @songs = Song.search(params[:search]).order("created_at DESC")
    elsif params[:tag]
      @songs = Songs.tagSearch(params[:tag]).order("created_at DESC")
    else
      @songs = Song.all
    end
  end

我不确定 View ，但可能是一个传递标签值参数的按钮。问题是我只是想让它成为一个按钮，我不需要他们输入任何东西。

我希望这不会太困惑。

谢谢!

马特

Answer 1

扩展 RaVen 帖子:

1)使用ruby命名约定tagSearch应该是tag_search；方法是蛇形大小写(带下划线的小写)。

2) where("#{query} > 0") 使您暴露于 SQL 注入(inject)攻击 - 建议安装 brakeman gem，它可以暴露这样的安全问题:

• > http://brakemanscanner.org/docs/warning_types/sql_injection/
• > http://brakemanscanner.org/docs/

3) 您可以通过链接作用域来简化代码，返回 nil 的作用域不会影响查询

class Song
  scope :search, -> (query) do 
    where("name LIKE ?", "#{query}%") if query.present?
  end

  scope :tag_search, -> (tag) do 
    where(tag > 0) if tag.present?
  end

  scope :ordered, -> do 
    order(created_at: :desc)
  end
end

class SongsController
  def index
    @songs = Song.search(params[:search])
               .tag_search(params[:tag])
               .ordered
  end
end

4)根据用户指定的列进行查询并避免sql注入(inject):

这是一种方法，可能还有其他更好的方法可用，比如使用模型 arel_table，无论如何这个方法非常简单

  scope :tag_search, -> (tag) do 
    where("#{self.white_list(tag)} > 0") if tag.present?
  end

  def self.white_list(column_name)
    # if the specified column_name matches a model attribute then return that attribute
    # otherwise return nil which will cause a sql error
    # but it won't let arbitrary sql execution
    self.attribute_names.detect { |attribute| attribute == column_name }
  end