我正在Post模型中编写一个SQL查询来搜索数据库以将查询与帖子的正文相匹配。我正在使用 gem 来帮助审核应用程序的安全性Brakeman并且它返回了易受注入的 SQL 查询。
查询,
def self.search(search)
where("body LIKE '%#{search}%'")
end
Post控制器,
if params[:search]
@posts = Post.search(params[:search]).order("created_at DESC").paginate(page: params[:page], per_page: 5)
else
你应该使用这个:
def self.search(search)
where("body LIKE ?", "%#{search}%")
end