当添加一个属于一个地方的事件时,我有一个选择框,而place_id在attr_accessible列表中
显然在表单中我只显示登录用户名单的列表。但这样安全吗?如果用户摆弄表单并将place_id更改为其他用户,并设法将事件分配给其他用户,该怎么办?
是否有标准方法将可接受的值限制为attr_accessible属性(或rails 4强参数属性)
答案 0 :(得分:0)
您可以将cancan gem用于授权和安全目的。
Ryan bates有一个很好的轨道广播
http://railscasts.com/episodes/192-authorization-with-cancan