作为一般经验法则,您不应信任来自用户的任何数据输入。如果你有一个带参数的简单link_to:
link_to "Click me", test_path(:my_param => "test")
路线可能如下:example.com/test?my_param=test
我如何知道该参数或任何注入的数据是否正确过滤? Rails 3 API没有指定它过滤传递给控制器的数据,但是我想确保在使用params数据之前在控制器中安全地过滤了params [:my_param]。
有什么想法吗?