attr_accessible のセキュリティ上の脅威については非常に多くのことが書かれているため、属性を含める必要があるかどうかさえ疑問に思い始めています。これが問題です。私はMessage
次のようなモデルを持っています:
attr_accessible :body,:sender_id,:recipient_id
update
にoredit
アクションがありませんmessages_controller
。new
andアクションを使用create
して、新しいメッセージを作成し、受信者に送信できます。ログインして一定の条件を満たしたユーザーのみがメッセージをやり取りできます。私は a の助けを借りてそれを行いbefore_filter
、条件は正常に機能します。sender
メッセージは保存され、およびで表示できますrecipient
。完全!
私が持っている質問は、:body,:sender_id,:recipient_id
が含まれているためattr_accessible
、悪意のあるユーザーがどうにか:body,:sender_id,:recipient_id
して元のメッセージの を変更できるかということです。これらの属性も追加してattr_readonly
、保存後に変更できないようにする必要がありますか?
この質問は、ほとんどすべてのモデルで私を悩ませてきました。