Mysql RubyonRails上的sql注入类似'；%#{argument}%易受攻击？

我有一个关于RubyonRails sql注入漏洞的问题。假设我有这样一种方法：

def self.search(args)
 where_clause = `items`.`name` LIKE '%#{args}%'
 results = Item::where(where_clause)
 return results
end

其中args是从搜索框传入的值。这容易受到攻击吗？我最初的想法是，这将很容易受到攻击，然而，在尝试了一些查询之后，我无法做到

“%”是否有什么特殊之处使其不受攻击

---

谢谢

为了安全起见，我通常会这样做：

Item.where("name LIKE ?", "%#{args}%")

---

您尝试了什么数据库？：）我们正在开发我自己的本地数据库。我的意思是：mysql、postgre、sqlite等等？你到底尝试了什么？哦，我道歉。是mysql。我尝试了一个%'或1=1'a，它允许我显示所有记录，这显然意味着它可以被注入，但我无法得到一个delete或destroy语句来处理。我同意你的看法，为了安全起见，我也喜欢这种方法。但是，像“%”这样的攻击就不易受到攻击了吗？我试过几个不同的角度。