rails 动态 where sql 查询
rails dynamic where sql query
我有一个对象,它有一堆表示可搜索模型属性的属性,我想仅使用设置的属性动态创建一个 sql 查询。我创建了下面的方法,但我相信它容易受到 sql 注入攻击。我做了一些研究并阅读了 rails 活动记录查询界面指南,但似乎 where 条件总是需要一个静态定义的字符串作为第一个参数。我还试图找到一种方法来清理由我的方法生成的 sql 字符串,但似乎也没有好的方法可以做到这一点。
我怎样才能做得更好?我应该使用 where 条件还是以某种方式清理这个 sql 字符串?谢谢
def query_string
to_return = ""
self.instance_values.symbolize_keys.each do |attr_name, attr_value|
if defined?(attr_value) and !attr_value.blank?
to_return << "#{attr_name} LIKE '%#{attr_value}%' and "
end
end
to_return.chomp(" and ")
end
你的方法有点不对劲,因为你试图解决错误的问题。您正在尝试构建一个字符串以交给 ActiveRecord,以便它可以在您应该简单地尝试构建查询时构建查询。
当你这样说时:
Model.where('a and b')
这等于说:
Model.where('a').where('b')
你可以说:
Model.where('c like ?', pattern)
而不是:
Model.where("c like '#{pattern}'")
将这两个想法与您的 self.instance_values 相结合,您可以得到类似的东西:
def query
self.instance_values.select { |_, v| v.present? }.inject(YourModel) do |q, (name, value)|
q.where("#{name} like ?", "%#{value}%")
end
end
甚至:
def query
empties = ->(_, v) { v.blank? }
add_to_query = ->(q, (n, v)) { q.where("#{n} like ?", "%#{v}%") }
instance_values.reject(&empties)
.inject(YourModel, &add_to_query)
end
那些假设您已经正确地将所有实例变量列入白名单。如果你还没有,那么你应该。
我有一个对象,它有一堆表示可搜索模型属性的属性,我想仅使用设置的属性动态创建一个 sql 查询。我创建了下面的方法,但我相信它容易受到 sql 注入攻击。我做了一些研究并阅读了 rails 活动记录查询界面指南,但似乎 where 条件总是需要一个静态定义的字符串作为第一个参数。我还试图找到一种方法来清理由我的方法生成的 sql 字符串,但似乎也没有好的方法可以做到这一点。
我怎样才能做得更好?我应该使用 where 条件还是以某种方式清理这个 sql 字符串?谢谢
def query_string
to_return = ""
self.instance_values.symbolize_keys.each do |attr_name, attr_value|
if defined?(attr_value) and !attr_value.blank?
to_return << "#{attr_name} LIKE '%#{attr_value}%' and "
end
end
to_return.chomp(" and ")
end
你的方法有点不对劲,因为你试图解决错误的问题。您正在尝试构建一个字符串以交给 ActiveRecord,以便它可以在您应该简单地尝试构建查询时构建查询。
当你这样说时:
Model.where('a and b')
这等于说:
Model.where('a').where('b')
你可以说:
Model.where('c like ?', pattern)
而不是:
Model.where("c like '#{pattern}'")
将这两个想法与您的 self.instance_values 相结合,您可以得到类似的东西:
def query
self.instance_values.select { |_, v| v.present? }.inject(YourModel) do |q, (name, value)|
q.where("#{name} like ?", "%#{value}%")
end
end
甚至:
def query
empties = ->(_, v) { v.blank? }
add_to_query = ->(q, (n, v)) { q.where("#{n} like ?", "%#{v}%") }
instance_values.reject(&empties)
.inject(YourModel, &add_to_query)
end
那些假设您已经正确地将所有实例变量列入白名单。如果你还没有,那么你应该。