我刚开始用rails编码。我在用: Rails 3.2.8 红宝石1.9.3p194
我创建了一个迁移和相应的模型,所有这些都在它们应该存在的文件中(为了简明起见,我将它们全部展示在一起):
class CreateMovies < ActiveRecord::Migration
def up
create_table 'movies' do |t|
t.string 'title'
t.timestamps
end
end
def down
drop_table 'movies'
end
end
class Movie < ActiveRecord::Base
end
所以,我想进入'rails console'并将数据库作为一个学习过程。
这是我输入的内容和我收到的错误消息:
1.9.3p194 :021 > k = Movie.new(:title => 'coco')
ActiveModel::MassAssignmentSecurity::Error: Can't mass-assign protected attributes: title
我必须说,如果我追加上述说法可以正常工作:without_protection =&gt;真。
我抬头看了一下质量任务,我明白这是我们应该非常小心的事情。但是,看起来轨道默认激活了质量分配保护。在我的情况下,我想使用哈希创建条目,这对于调试和学习非常有用!
有没有办法取消激活这种保护?我想默认拥有公共属性!我怎样才能做到这一点?
奇怪的是,在我的网络研究中,我得出结论,默认情况下此功能不存在,即默认情况下ActiveModel不会创建受保护的属性。 (http://stackoverflow.com/questions/3764899/is-there-a-way-to-make-rails-activerecord-attributes-private) 但就我而言,所有属性都是私密的!
在我的代码中,将来,我应该尝试单独分配所有属性吗?这将是乏味的。是否有更好的方法来保证安全并避免这个繁琐的过程?
从心底深处提前感谢你!
答案 0 :(得分:14)
没有!请不要取消激活此保护。这非常有助于阻止人们设置他们不应该的属性。关闭它是一个非常糟糕的主意,我会非常非常强烈地建议反对它。
您应该在模型中执行此操作:
class Movie < ActiveRecord::Base
attr_accessible :title
end
这将使只 title对象的Movie属性可分配,如果没有without_protection标记或{{{},则无法分配任何其他属性1}}设置为config.active_record.whitelist_attributes。
如果你不注意这个警告,那么Murifox的回答是你想要的。
想象一下,您有一个表单,用户可以更新其密码。天真无邪。现在假设您已关闭属性保护,并且您的false表上有users字段。
有人非常容易将页面的HTML保存到他们的计算机,添加admin的字段,然后将其设置为“on”或其他,然后 blammo ,他们是您网站的管理员。
您网站的新管理员可以快速有效地在您的应用上运行 coup d'état,使他们声称的“异议数据”消失。在未来几年,这个野蛮的独裁者以某种方式积聚了足够的核材料以形成核武器。他与一个鲜为人知的国家并不相处,比如说苏里南,并向他的军队发起进攻。军队是如何形成的,取决于你的想象力。
成千上万的苏里南人(我不得不抬头看看)要么被杀,要么被流放到邻国,主要是法国几内亚和圭亚那。有些人试图进入巴西,如果不是南美最伟大的国家之一,只会被远足或丛林中的生物所杀死。
苏里南军队,剩下的东西,坚持反对独裁者和他的军队。使用核武器打破了僵局,独裁者将苏里南及其民众的生活添加到他所破坏的事物清单中。这个清单很短:他破坏的唯一另一件事就是你的申请。
您是否希望自己有意识? 为什么没有人会想到苏里南属性?!
我请求admin。学会爱它,否则后果可能会非常糟糕。
答案 1 :(得分:1)
class Movie < ActiveRecord::Base
attr_accessible :title, :as => :user
attr_accessible :title, :disabled, :as => :admin
end
现在,当您创建新电影时,请按以下步骤操作:
k = Movie.create({:title => "A new movie"}, {:as => :user})
k.update_attributes({:disabled => true}, {:as => :admin})
大括号是可选的,但有助于解释。现在,这意味着您可以保护不同角色的属性。您可以拥有可以修改标题但无法禁用电影的用户角色。
现在您可以使用此代码并亲自查看标题和禁用的访问者不受管理员保护,但只有用户角色可以访问标题。
这确保您没有未经授权访问子项属性和其他持久性的关键属性,例如Ryan Bigg提到的。
答案 2 :(得分:0)
您可以将此行添加到您的应用
config.active_record.whitelist_attributes = true
重启服务器/控制台
查看官方文档
http://guides.rubyonrails.org/security.html#highlighter_14621
但我建议从头开始与它一起生活,不要停用它。 它就像一个神奇的钥匙,只打开你想让别人允许的门。
根据我个人的经验,在我们的第一步中学到的东西是我们主要遵循的东西,很难改变。只是JMHO :)
只需将字段添加到模特屁股attr_accessible
class ModelName < ActiveRecord::Base
attr_accessible :column_1,:column_2,:column_3
end
他们将可以获得大规模的协助。
永远不要将包含非常敏感信息的列user_active或admin设为attr_accessible
您始终可以单独指定该值
例如:让我们假设一个模型User,其中有一列表明用户active与否
admin列未按质量分配
user = User.new(:active=>true)
user.save #wont update the active column should throw mass assign assignment error
user = User.new
user.admin = true
user.save #should save successfully
需要更多的努力,但是你可以睡个好觉:))