Po pierwsze, gorąco zachęcam do przeniesienia logiki Modelu do Models. Zamiast tworzyć logikę wyszukiwania w kontrolerze, utwórz metodę #search w trybie wyceny.
class Quote
def self.search(query)
...
end
end
a twój kontroler staje się
# receives a string, splits it in a array of words, create the 'conditions'
# query, and send it to ActiveRecord
def search
@quotes = Quote.search(params[:query])
end
Wróćmy teraz do pierwotnego problemu. Twoja istniejąca logika wyszukiwania popełnia bardzo poważny błąd:bezpośrednio interpoluje wartość otwierającą kod do wstrzyknięcia SQL. Zakładając, że używasz Rails 3, możesz skorzystać z nowej składni #where.
class Quote
def self.search(query)
words = query.to_s.strip.split
words.inject(scoped) do |combined_scope, word|
combined_scope.where("quote LIKE ?", "%#{word}%")
end
end
end
To trochę zaawansowany temat. Chcę zrozumieć, co combined_scope + inject tak, polecam przeczytać artykuł Chudy na Scopes
.
