如何清理表单参数以便与Searchlogic一起使用？[Rails]

Question

示例表单

<% form_for @search do |f| %>
  <ul>
    <li>
      <%= f.label :item_number_equals, "Item number" %><br />
      <%= f.text_field :item_number_equals %>
    </li>
    <li>
      <%= f.label :description_keywords, "Description" %><br />
      <%= f.text_field :description_keywords %>
    </li>
    <li>
      <%= f.check_box :in_stock %>
      <%= f.label :in_stock, "In Stock?" %>
    </li>
    <li>
      <%= f.label :price_gte, "Price Min" %>
      <%= f.text_field :price_gte, :size => 3 %> 
      <%= f.label :price_lte, "Max" %>
      <%= f.text_field :price_lte, :size => 3 %>
    </li>
    <li>
      <%= f.submit "Search" %>
    </li>
  </ul>
<% end %>

控制器

# app/controllers/products_controller.rb
class ProductsController < ApplicationController

  def index
    @search = Product.search(params[:search])
    @products = @search.all
  end

end

在这种情况下，清理参数的最好方法是什么？用户可以很容易地修改HTML或GET请求字符串，试图访问他们不应该访问的其他数据。

Answer 1

AFAIK，Searchlogic不支持任何形式的开箱即用的搜索范围白名单。最简单的方法是编写一个方法来清除任何未显式授权的散列键：

class Hash
  def sanitize_keys!(*allowed)
    self.each do |key, value|
      self.delete(key) unless allowed.include? key
    end
  end
end

# in your controller...
params[:search].andand.sanitize_keys!(:in_stock, :price_gte) # etc...

不是很好，但也不坏，它肯定会完成这项工作。在使用meta_search的Rails3中，您可以将您的作用域列入白名单，以便在模型级别进行搜索，这是一种更好的方法。你也可以扩展Searchlogic来实现同样的功能。

Answer 2

看看meta_search --特别是attr_searchable和assoc_searchable方法。这(几乎)是Searchlogic的直接替代品，它也适用于Rails3。