带有用户型号设备的基本rails5.0应用程序。我为新记录添加了一个默认为false的admin列。在注册屏幕中,我有基本字段名称,电子邮件等。但我担心有人在创建用户时向params注入admin = TRUE。 您将如何创建此限制? 在此先感谢
答案 0 :(得分:2)
Pavan对你的帖子的直接评论是正确的。使用强参数是Rails最佳实践之一。
只需过滤我们允许接受的参数:
def user_params
params.require(:user).permit(:name, :email)
end
并仅将其分配给用户对象:
@user.update(user_params)