クエリのような安全なActiveRecord

Question

LIKEクエリを作成しようとしています。

純粋な文字列の要求は安全ではないことを読みましたが、安全なLIKE Hash Queryの記述方法を説明するドキュメントは見つかりませんでした。

出来ますか？ SQLインジェクションを手動で防御する必要がありますか？

spickermann · Accepted Answer

クエリ文字列が適切にサニタイズされるようにするには、配列またはハッシュクエリ構文を使用して条件を記述します。

Foo.where("bar LIKE ?", "%#{query}%")

または：

Foo.where("bar LIKE :query", query: "%#{query}%")

queryに%文字が含まれている可能性がある場合は、最初に sanitize_sql_like でqueryをサニタイズする必要があります。

Foo.where("bar LIKE ?", "%#{sanitize_sql_like(query)}%") Foo.where("bar LIKE :query", query: "%#{sanitize_sql_like(query)}%")

Pedro Morte Rolo · Answer

Arelを使用すると、この安全で移植可能なクエリを実行できます。

title = Model.arel_table[:title] Model.where(title.matches("%#{query}%"))

Khoga · Answer

PostgreSQLの場合は

Foo.where("bar ILIKE ?", "%#{query}%")

Santhosh · Answer

できるよ

MyModel.where(["title LIKE ?", "%#{params[:query]}%"])