私はRailsの初心者で、現在MichaelHartlのRails3チュートリアルを読んでいて、本当に興味がある質問があり
ます。「フェイカー」を介して管理者ユーザーと他の99人の通常のユーザーを作成するという文脈で、Hartlはなぜそうなるのかを説明します。ユーザーモデルのattr_accessibleに「:admin」を追加して、「faker」テストコードの初期化ハッシュに「admin:true」を追加することはお勧めできません。代わりに、「toggle!(:admin)」を使用し、アクセス可能な属性に「:admin」を追加しないようにする必要があると説明しています。そうしないと、悪意のあるユーザーが「PUT / users / 17?admin=1」のようなPUTリクエストを直接送信する可能性があります。
http://ruby.railstutorial.org/book/ruby-on-rails-tutorial#sec:revisiting_attr_accessible
したがって、Hartlのアドバイスに従って、私の管理ブール値は安全になりましたが、アクセス可能な属性として定義されている名前、電子メールなどの他のユーザー属性についてはどうでしょうか。これは、悪意のあるユーザーが上記のようなPUTリクエストを介してこれらの属性を簡単に変更できることを意味しますか?チュートリアルでは、Hartlは、このようなPUTリクエストフォームを発行できるcurlという名前のコマンドラインツールについて説明しています。サンプルアプリでこれを試してみたいとは思いません。質問は、何かを見落としているのか、それとも「put / users / 17?name='new_name'」などの悪意のあるPUTリクエストが発生する可能性があるのかということです。
誰かが私の質問に答えてくれるなら、事前に感謝します!