所以我尝试在模型中编写一个方法,允许我返回具有大于 0 的特定字段值的帖子。
所以我的帖子中的字段本质上是标签。基本上我的帖子有四个领域,hiphop,electro,house和pop。每个字段的值都在 0 到 10 之间。
我正在努力做到这一点,如果有人点击显示“Hip Hop” View 的按钮,它将返回所有 hiphop 字段值大于 0 的帖子。
我知道这是错误的,但我在想这样的事情
def self.tagSearch(query)
where("#{query} > 0")
end
在我的 Controller 中我会有这样的东西
def index
if params[:search]
@songs = Song.search(params[:search]).order("created_at DESC")
elsif params[:tag]
@songs = Songs.tagSearch(params[:tag]).order("created_at DESC")
else
@songs = Song.all
end
end
我不确定 View ,但可能是一个传递标签值参数的按钮。问题是我只是想让它成为一个按钮,我不需要他们输入任何东西。
我希望这不会太困惑。
谢谢!
马特
最佳答案
扩展 RaVen 帖子:
1)使用ruby命名约定tagSearch
应该是tag_search
;方法是蛇形大小写(带下划线的小写)。
2) where("#{query} > 0")
使您暴露于 SQL 注入(inject)攻击 - 建议安装 brakeman gem,它可以暴露这样的安全问题:
3) 您可以通过链接作用域来简化代码,返回 nil 的作用域不会影响查询
class Song
scope :search, -> (query) do
where("name LIKE ?", "#{query}%") if query.present?
end
scope :tag_search, -> (tag) do
where(tag > 0) if tag.present?
end
scope :ordered, -> do
order(created_at: :desc)
end
end
class SongsController
def index
@songs = Song.search(params[:search])
.tag_search(params[:tag])
.ordered
end
end
4)根据用户指定的列进行查询并避免sql注入(inject):
这是一种方法,可能还有其他更好的方法可用,比如使用模型 arel_table
,无论如何这个方法非常简单
scope :tag_search, -> (tag) do
where("#{self.white_list(tag)} > 0") if tag.present?
end
def self.white_list(column_name)
# if the specified column_name matches a model attribute then return that attribute
# otherwise return nil which will cause a sql error
# but it won't let arbitrary sql execution
self.attribute_names.detect { |attribute| attribute == column_name }
end
关于mysql - 使用模型搜索特定字段,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35963880/