セキュリティとattr_accessibleを完全に理解しているかどうかはわかりません。一括割り当てが安全であると見なされる属性があるのはなぜですか? 1 つは、Admin 属性を true などに設定できることです。しかし、たとえばユーザーの電子メールにアクセスできるようにすることが安全であると考えられるのはなぜでしょうか? それは潜在的に、同じくらい悪いことではありませんか?
1 に答える
0
さて、これは長々とした議論であり、おそらくこの質問はhttps://security.stackexchange.com/に属しますが、関係なく...
従うべき簡単な経験則は次のとおりです。
ユーザー入力から直接受け入れてデータベースに保存する任意のパラメータを作成できますattr_accessible
。
電子メールや is_admin など、ユーザーがフォーム投稿を介して変更できないパラメータは、変更しないでください。
管理者だけが何かを設定できるなど、条件付きで検証または許可する必要がある属性がある場合でも、それらをattr_accessible リストにリストするべきではありません。
于 2012-11-22T13:55:38.783 に答える