这是user_params强参数的一个很好的实现吗?

时间:2014-04-11 21:10:55

标签: ruby-on-rails 

def user_params
  if current_user.admin?
    params.require(:user).permit(:name, :email, :password, :student, :admin)
  else
    params.require(:user).permit(:name, :email, :password) 
  end                           
end

我希望管理员能够更新用户的角色。

Users_params是一个强大的参数,可以防止黑客改变用户的角色。

以下代码不安全,对吗?我在GitHub上看到了这段代码。

def user_params
    params.require(:user).permit(:name, :email, :password, :student, :admin)                         
end

1 个答案:

答案 0 :(得分:0)

def user_params
  if current_user.admin?
    params.require(:user).permit!
  else
    params.require(:user).permit(:name, :email, :password) 
  end                           
end
相关问题
最新问题