安全だと思うソリューションについて質問がありますが、セカンドオピニオンをお願いします。
私たちのアプリケーションには、'roles' 属性を持つユーザー モデルがあります。通常、ユーザーは自分の情報を更新する可能性があり、投稿ハッシュを操作して「役割」を含めることができるため、この属性を一括割り当て可能にすることはありません。
ただし、この特定のケースでは、属性を一括割り当て可能のままにしない限り、多くの調整が必要になる (むしろ避けたい) Rails エンジンを使用しています。
ここでの解決策は次のとおりです。コントローラーの user#update アクションでは、更新される前に params ハッシュから roles 属性を削除するだけです。
params[:user].delete(:roles)
これが理想的なソリューションではないことは理解していますが、安全ですか?
専門知識をありがとう、
アーウィン