我需要创建一个允许创建和更新项目的CRUD,其中一个属性是拥有该项目的客户端。创建或编辑项目时,使用选择标记选择客户端。
我有这个型号:
class Cliente < ActiveRecord::Base
attr_accessible :nombre
has_many :proyectos
end
class Proyecto < ActiveRecord::Base
attr_accessible :nombre, :cliente_id
belongs_to :cliente
end
这个控制器:
class ProyectosController < ApplicationController
def new
@proyecto = Proyecto.new
@clientes = Cliente.order(:nombre)
end
def edit
@proyecto = Proyecto.find(params[:id])
@clientes = Cliente.order(:nombre)
end
def create
@proyecto = Proyecto.new(params[:proyecto])
if @proyecto.save
redirect_to @proyecto, notice: 'Proyecto was successfully created.'
else
render action: "new"
end
end
end
def update
@proyecto = Proyecto.find(params[:id])
if @proyecto.update_attributes(params[:proyecto])
redirect_to @proyecto, notice: 'Proyecto was successfully updated.'
else
render action: "edit"
end
end
end
和视图上的这个表单(以haml为单位):
= form_for @proyecto do |f|
= f.label :cliente
= f.collection_select :cliente_id, @clientes, :id, :nombre
= f.label :nombre
= f.text_field :nombre
= f.submit 'Save'
代码是用scaffold生成的,我只是删除了不必要的部分并添加了代码来创建选择。
最初,在Proyecto模型上我有这个:
attr_accessible :nombre
但是得到错误“无法批量分配受保护的属性:cliente_id”。在stackoverflow上搜索类似的问题,我发现我必须将cliente_id添加到attr_accessible,但是在google上搜索也发现由于安全问题我不得在attr_accessible添加外键,这是矛盾的。
这是编写我的创建和更新方法的正确方法,将cliente_id添加到attr_accessible吗?如果没有,那么正确的方法是什么?
我正在使用rails 3.2.8和ruby 1.9.3p194
答案 0 :(得分:2)
在这种情况下,您必须将client_id设置为attr_accessible。原因是您允许用户通过表单上的选择框设置客户端。
然而,这引起了安全问题。想象一下,您只向特定用户展示了他可以选择的3个不同的客户(ID:1,2,3)。如果用户手动修改表单,他可以将ID为#4的客户端分配给他的项目,这可能是安全问题或只是一个错误。
要解决安全问题,请在Project模型中添加验证,以确保客户端ID有效。