Rails的LIKE查询不工作

Question

这正常工作，并返回正确的结果：

query = params[:query].downcase 
users = User.find(:all, :conditions => ['username LIKE ?', "%#{query}%"]) 

不过，我认为这是不安全的，因为它是开放的SQL注入攻击？

所以我试图做这样的：

users = User.all(:conditions => ["username LIKE ?", query]) 

甚至

users = User.where("username LIKE ?", query) 

但既不是那些2返回任何结果。

这样做的正确方法是什么？

编辑： 这工作：

users = User.where("username LIKE ?", "%#{query}%") 

但根据Rails的文档：

Answer 1

你错过了你的替代尝试百分比符号在查询：

query = "%thing_to_find%" 
users = User.all(:conditions => ["username LIKE ?", query]) 

- 或 -

query = "%thing_to_find%" 
users = User.where("username LIKE ?", query) 

但随着中说，你的第一个例子是SQL注入安全。实际上你的三个例子都是AOK！