質問があります:
@results = the_db.where('name LIKE ?', '%#{input}%').paginate(
:page => params[:page],
:per_page => 50,
:group => "name",
:order => [
"CASE WHEN name like '#{input}%' THEN 0
WHEN name like '% %#{input}% %' THEN 1
END, name"
]
)
問題は、これがインジェクションに対して脆弱であることです。(注文節) どうすればこの問題を解決できますか? ユーザーの入力を何らかの方法でサニタイズして、攻撃を無効にすることは可能ですか?