attr_protectedセキュリティの脆弱性があり、 への呼び出しの使用から切り替えることをお勧めしますattr_accessible。
この変更を行う際のリスクのレベルを理解しようとしていますか? これは重要な変更と見なされますか?
質問する
54 次
1 に答える
0
への変更attr_accessibleは安全性が高くなります (低下することはありません)。
デフォルトですべてアクセス可能であり、これらは保護されています
に
すべてがデフォルトで保護されており、これらはアクセス可能です
主なリスクは、既存のすべてのフォームを壊すことです...属性を明示的にアクセス可能に設定するか、クラスの各保護属性を明示的に設定しない限り。
たとえば、属性の場合:id, email, phone number, zip_code and first_name
これら 2 つは、既存の属性に対して同じ動作になります。
# only protect these two attributes, everything else is open season
# a new attribute will start out accessible by default
attr_protected :id, :email
と
# only these attributes are accessible - everything else is protected
# a new attribute will start out protected by default
attr_accessible :first_name, :zip_code, :phone_number
于 2013-02-26T00:05:17.027 に答える