希望构建具有多个可选 where 条件的 rails 活动记录查询。
例子:
我有一个患者搜索表单,可以通过 ID、姓名和电子邮件地址进行搜索。伪代码如下:
where_sql = ""
where_sql = {'name = ?", params[:name]} if params[:name]
where_sql = {'id = ?", params[:id]} if params[:id]
where_sql = {'email = ?", params[:email]} if params[:email]
Patient.where(where_sql)
如何构建以下查询而不用担心 sql 注入。
【问题讨论】:
标签: ruby-on-rails-3 activerecord
如果您使用问号“?”占位符或散列 ActiveRecord 会自动为您转义值。请参阅 rails guides 中的注入对策http://guides.rubyonrails.org/security.html#sql-injection
这可能是 ransack gem 的一个很好的用例(MetaWhere 重写)https://github.com/ernie/ransack
【讨论】:
如果你只使用相等的条件,你可以这样做:
conditions = {}
conditions[:name] = params[:name] if params[:name]
conditions[:id] = params[:id] if params[:id]
conditions[:email] = params[:email] if params[:email]
Patient.where(conditions)
另外,看看一个很棒的 searchlogic gem。
【讨论】: