Ten eerste raad ik u sterk aan om de logica van Model naar Models te verplaatsen. In plaats van de zoeklogica in de Controller te creëren, creëer je een #search-methode in je Quote-modus.
class Quote
def self.search(query)
...
end
end
en je controller wordt
# receives a string, splits it in a array of words, create the 'conditions'
# query, and send it to ActiveRecord
def search
@quotes = Quote.search(params[:query])
end
Nu terug naar het oorspronkelijke probleem. Uw bestaande zoeklogica maakt een zeer grote fout:het interpoleert direct de waarde die uw code opent voor SQL-injectie. Ervan uitgaande dat u Rails 3 gebruikt, kunt u profiteren van de nieuwe #where-syntaxis.
class Quote
def self.search(query)
words = query.to_s.strip.split
words.inject(scoped) do |combined_scope, word|
combined_scope.where("quote LIKE ?", "%#{word}%")
end
end
end
Het is een beetje een geavanceerd onderwerp. Ik wil weten wat de combined_scope + inject doet, raad ik je aan het artikel De Skinny on Scopes
.