カスタムアクションへのリンクが正常に動作しない

Question

私はsaasクラスの課題2の問題3に取り組んでいます。私はまったく初心者で、問題に悩まされています。

割り当ては、列名を作るために「映画のタイトル」私がやっている何名

でソート映画は「映画のタイトル」リンクにあるリンク、お願いします：

%th#title_header= link_to 'Movie Title', :controller => 'movies', :action => 'sort_by_title' 

をmovies_controllerするカスタムアクションを追加します。

def sort_by_title 
    @movies = Movie.find(:all, :order => "title") 
    render movies_path 
end 

はその後私にエラーを与えるレール：

No route matches {:controller=>"movies", :action=>"sort_by_title"} 

それから私は大丈夫と言うと、ルートファイルに追加します。

match '/movies?sort_by_title', :to => 'movies#sort_by_title' 

今すぐインデックスページは罰金レンダリングが、MOVIE_TITLEのリンクをクリックしたときに何も起こりません。

私は正しい道にいるのか、まったく間違っていますか？

すくいルートが印刷されます。

match '/movies/sort_by_title', :to => 'movies#sort_by_title' 

Answer 1

それは本当にただGETパラメータだのに、なぜ、このためのルートを作成します。

movies GET /movies(.:format)    {:action=>"index", :controller=>"movies"} 
     POST /movies(.:format)    {:action=>"create", :controller=>"movies"} 
new_movie GET /movies/new(.:format)   {:action=>"new", :controller=>"movies"} 
edit_movie GET /movies/:id/edit(.:format)  {:action=>"edit", :controller=>"movies"} 
movie GET /movies/:id(.:format)   {:action=>"show", :controller=>"movies"} 
     PUT /movies/:id(.:format)   {:action=>"update", :controller=>"movies"} 
     DELETE /movies/:id(.:format)   {:action=>"destroy", :controller=>"movies"} 
       /movies?sort_by_title(.:format) {:controller=>"movies", :action=>"sort_by_title"} 

は

Answer 2

が、このような万一ありがとう？これは新しいアクションでもなく、まだ別の方法ですべての映画を表示しています。

このような何かを行うにあなたのindexアクションを変更します。

def index 
    @movies = Movie.scoped 
    @movies = @movies.order('title') if params['sort'] == 'title' 
end 

をして、あなたのリンクを更新します。それは潜在的なSQLインジェクションを開くよう

link_to 'Movie Title', movies_path(:sort => 'title') 

は、ちょうどMovie.order(params['sort']) if params['sort']を行うには誘惑に抵抗そうでない場合は、攻撃者がテーブル内のすべての列を検出することができます。また、ユーザーがURLに不正なソート値を入力するだけで失敗する可能性もあります。