Pertama, saya sangat menganjurkan Anda untuk memindahkan logika Model ke Models. Alih-alih membuat logika pencarian ke dalam Controller, buat metode #search ke dalam mode Quote Anda.
class Quote
def self.search(query)
...
end
end
dan pengontrol Anda menjadi
# receives a string, splits it in a array of words, create the 'conditions'
# query, and send it to ActiveRecord
def search
@quotes = Quote.search(params[:query])
end
Sekarang, kembali ke masalah awal. Logika pencarian Anda yang ada melakukan kesalahan yang sangat buruk:ini secara langsung menginterpolasi nilai saat membuka kode Anda ke injeksi SQL. Dengan asumsi Anda menggunakan Rails 3, Anda dapat memanfaatkan sintaks #where yang baru.
class Quote
def self.search(query)
words = query.to_s.strip.split
words.inject(scoped) do |combined_scope, word|
combined_scope.where("quote LIKE ?", "%#{word}%")
end
end
end
Ini sedikit topik lanjutan. Saya ingin memahami apa combined_scope + inject tidak, saya sarankan Anda untuk membaca artikel Kurus di Lingkup
.
