Bagaimana cara melakukan kueri LIKE di Arel and Rails?

115

Saya ingin melakukan sesuatu seperti:

SELECT * FROM USER WHERE NAME LIKE '%Smith%';

Upaya saya di Arel:

# params[:query] = 'Smith'
User.where("name like '%?%'", params[:query]).to_sql

Namun, ini menjadi:

SELECT * FROM USER WHERE NAME LIKE '%'Smith'%';

Arel membungkus string kueri 'Smith' dengan benar, tetapi karena ini adalah pernyataan LIKE, ini tidak berfungsi.

Bagaimana cara melakukan query LIKE di Arel?

Bonus PS - Saya sebenarnya mencoba memindai dua bidang pada tabel, nama dan deskripsi, untuk melihat apakah ada kecocokan dengan kueri. Bagaimana cara kerjanya?

ruby-on-rails activerecord arel

— filsa
sumber

Saya memperbarui jawaban arel untuk bonus.

— Pedro Rolo

Jawaban:

275

Beginilah cara Anda melakukan kueri serupa di arel:

users = User.arel_table
User.where(users[:name].matches("%#{user_name}%"))

PS:

users = User.arel_table
query_string = "%#{params[query]}%"
param_matches_string =  ->(param){ 
  users[param].matches(query_string) 
} 
User.where(param_matches_string.(:name)\
                       .or(param_matches_string.(:description)))

— Pedro Rolo
sumber

Tidak seperti penggunaan where("name like ?", ...), pendekatan ini lebih portabel di berbagai database. Misalnya, ini akan mengakibatkan ILIKEdigunakan dalam kueri terhadap Postgres db.

— dkobozev

apakah ini dilindungi dari injeksi SQL?

— sren

Ini TIDAK melindungi sepenuhnya terhadap injeksi SQL. Coba tetapkan user_name ke "%". Kueri akan mengembalikan pertandingan

— travis-146

Saya mencoba menyuntikkan sql menggunakan params secara langsung User.where(users[:name].matches("%#{params[:user_name]}%")),, saya mencoba TRUNCATE users;dan pertanyaan lain seperti itu dan tidak ada yang terjadi di sisi sql. Tampak aman bagi saya.

— earlonrails

Gunakan .gsub(/[%_]/, '\\\\\0')untuk keluar dari karakter wildcard MySql.

— aercolino

116

Mencoba

User.where("name like ?", "%#{params[:query]}%").to_sql

PS.

q = "%#{params[:query]}%"
User.where("name like ? or description like ?", q, q).to_sql

Aaand sudah lama tetapi @ cgg5207 menambahkan modifikasi (sangat berguna jika Anda akan mencari parameter dengan nama lama atau beberapa nama lama atau Anda terlalu malas untuk mengetik)

q = "%#{params[:query]}%"
User.where("name like :q or description like :q", :q => q).to_sql

atau

User.where("name like :q or description like :q", :q => "%#{params[:query]}%").to_sql

— Ruben Mallaby
sumber

Bagaimana Rails tahu untuk tidak melarikan diri %dalam string yang diganti? Sepertinya jika Anda hanya menginginkan wildcard satu sisi, tidak ada yang menghentikan pengguna untuk mengirimkan nilai kueri yang mencakup %di kedua ujungnya (saya tahu bahwa dalam praktiknya, Rails mencegah %agar tidak muncul dalam string kueri, tetapi sepertinya di sana harus menjadi perlindungan terhadap ini di level ActiveRecord).

— Steven

Bukankah ini rentan terhadap serangan injeksi SQL?

— Behrang Saeedzadeh

@Behrang no 8) User.where ("nama seperti% # {params [: query]}% atau deskripsi seperti% # {params [: query]}%"). To_sql akan rentan, tetapi, dalam format yang saya tunjukkan , Rails lolos dari params [: query]

— Reuben Mallaby

Maaf untuk offtopic. Saya memiliki sql git of method to_sqlatau arel manager, bagaimana cara menjalankan sql pada db?

— Малъ Скрылевъ

Model.where (to_sql_result)

— Pedro Rolo

Jawaban Reuben Mallaby dapat dipersingkat lebih lanjut untuk menggunakan pengikatan parameter:

User.where("name like :kw or description like :kw", :kw=>"%#{params[:query]}%").to_sql

— cgg5207
sumber