私はWebアプリケーションに取り組んでいますが、ユーザーがFirebugを使用してコードを操作できるという事実が気になります。
<%= form_for([@journal, @news]) do |f| %>
<div class="field">
<%= f.label :title %>
<%= f.text_field :title %>
</div>
<%= f.hidden_field :journal %>
<div class="actions">
<%= f.submit %>
</div>
<% end %>
ルート.rb
resources :journal do
resources: news
end
URLはmysite.com/journal/1/news/3のように表示されます。ジャーナルIDはURLに含まれているので、ユーザーがジャーナルIDの値1を2や3などに変更できないようにするにはどうすればよいですか。
<input id="news_journal_id" type="hidden" value="1" name="news[journal_id]">