0

私のRails3アプリには、モデルにバインドされていないフォームが含まれています。

私はを使用しform_tagていますが、コントローラーは次のようになります。

def results
    local_variable = params[:my_form_field].to_s
end

を使用してコントローラーで他のさまざまな要素を実行しているlocal_variableので、明らかに、厄介なユーザーが入力する可能性のある「不正な」入力(特に、HTMLタグ、さらにはインジェクション)に対してフォームをサニタイズしたいと思います。

私は自分の見解ではなく、コントローラーでこれを行う必要があります。to_sこれらの文字を削除するためにコントローラー内で使用できるものに似たものはありますか?

ありがとう!

4

1 に答える 1

0

RailsのSanitizeHelperを使用できます:http://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html

evalデータベースの内容を実行したり、データベースで実行したりしない限り、local_variable安全である必要があります。

于 2012-10-07T02:17:12.797 に答える