本文共 927 字,大约阅读时间需要 3 分钟。
Mass assignemet是个Rails专属,因为太方便而造成的安全性议题。ActiveRecord物件在新建或修改时,可以直接传入一个Hash来设定属性(这功能叫做Mass assignment),所以我们可以直接将网页表单上的参数直接丢进放进去:
def create # 假设表单送出 params[:user] 参数是 # {:name => “ihover”, :email => "ihover@gmail.com", :is_admin => true} @user = User.create(params[:user])enddef update @user = User.update(params[:user])end
但是这个Model包含一些敏感属性,例如此例中is_admin是个辨别是否是管理员的Boolean值,恶意的使用者可以直接修改HTML表单送出is_admin=true,造成了安全上的漏洞,所以以上的程式实际上会出现ActiveModel::ForbiddenAttributesError的安全错误讯息。
为了解决这个问题,Rails使用了Strong Parameters的机制来检查params参数必须经过检查才可以做Mass assignment,例如上述的程式必须改成:def create @user = User.create(user_params)enddef update @user = User.update(user_params)endprotecteddef user_params params.require(:user).permit(:name, :email)end
这样才可以一次赋值name和email。
当然,如果你没有Mass assignment的需求,大可不必用到Strong Parameters技巧,例如以下的程式也是可以运作的:def create @user = User.create( :name => params[:user][:name], :email => params[:user][:email] )end
转载地址:http://vrasn.baihongyu.com/