我的Rails 3应用包含一个未绑定到模型的表单。
我正在使用form_tag,我的控制器看起来有点像这样:
def results
local_variable = params[:my_form_field].to_s
end
我使用local_variable在控制器中做了各种其他的碎片,所以显然我想清理我的表格以防止讨厌的用户可能输入的“非法”输入(特别是HTML标签,甚至是注射)。
我真的需要在控制器中而不是在我看来这样做。是否有类似to_s的内容,我可以在控制器中使用它来删除这些字符?
谢谢!
答案 0 :(得分:0)
您可以使用Rails的Sanitize Helper:http://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html
只要你没有eval local_variable的内容或在数据库上执行它,你就应该是安全的。