問題タブ [mass-assignment]

一括割り当てに関する次の警告に非常に混乱しています。

これが私のアップロードモデルです：

これが私のユーザーモデルです

モデルには：upload_idはありません。

コントローラの更新アクションでは、次のようになります。

なぜこのエラーが発生するのか誰かに教えてもらえますか？アプリケーションは動作しますが、これを修正したいと思います。

ASP.NET MVC3 アプリで一括割り当て POST 要求を通信するための最良の方法を見つけようとして、多くの調査を行ってきましたが、あまり成功していません。

シナリオは次のとおりです。
前述のように、標準の REST メソッドを備えた ASP.NET MVC3 を使用して、デスクトップ アプリケーション (社内で作成された別のアプリ) と通信しようとしています。プロトタイプとして開始するには、WebClientを介してブルート フォース XML ドキュメントをアップロードし、MVC3 アプリケーションに XML ドキュメントを解析させました。この動作を維持するには、XML ドキュメントの解析用と Web サイトでの標準モデルの使用用の複数のメソッドを常に構築する必要があります。できればそこから離れたい。

すべての調査の後、RestSharp に出会いました。RestSharpを使用して大量の割り当て POST 要求を処理する方法があるかどうか疑問に思っています。次のようなことができるようになりたいです。

MVC3アプリで...

デスクトップアプリで...

これを達成する方法について誰かが私に何か指針を与えることができますか?

Rails のドキュメンテーションはこれをあまり明確にしていませんが、update_attributes のすべての使用は一括割り当てを構成し、attr_accessible を使用する場合はすべての属性をホワイトリストに登録する必要があるようです。update_attributes のドキュメントでは、これについては言及されていません。

update_attributes(attributes)

渡されたハッシュのすべての属性でこのリソースを更新し、レコードを保存するように要求します。

接続エラーまたはリモート サービス エラーが原因で保存に失敗した場合は、例外が発生します。リソースが無効なために保存に失敗した場合は、false が返されます。

注: この要求は、リソースの属性の一部のセットを使用して行うことができますが、要求の本文全体が保存要求でリモート サービスに送信されます。

この大量割り当ての制限をトリガーする、知っておくべき他の方法はありますか?

一括代入によるセキュリティ リスクを防ぐ公式の方法は、attr_accessibleを使用することです。ただし、一部のプログラマーは、これはモデルの仕事ではないと感じています (または少なくともモデルの仕事ではありません)。コントローラーでこれを行う最も簡単な方法は、paramsハッシュをスライスすることです。

ただし、ドキュメントには次のように記載されています。

attr_accessible の代わりに Hash#except または Hash#slice を使用して属性をサニタイズしても、十分な保護が得られないことに注意してください。

何故ですか？パラメータのホワイトリストスライスが十分な保護を提供しないのはなぜですか?

更新: Rails 4.0では、パラメーターの洗練されたスライスである strong-parameters が出荷される予定です。

Rails の新しい動的 attr_accessible 機能を使用したいと思います。ただし、各ユーザーには多くの役割があります (私は宣言型承認を使用しています)。したがって、モデルには次のものがあります。

そして、これをコントローラーに渡します：

user_roles はシンボルの配列です:

配列内のシンボルの 1 つが宣言された attr_accessible と一致するかどうかをモデルで確認したいと考えています。したがって、重複は避けます。

たとえば、user_roles =[:admin, :employee] とします。これは機能します：

しかし、すべてのユーザーが多くの役割を持っているため、1 つの役割またはシンボルしか検証できなければ意味がありません。

どんな助けでも大歓迎です

** * ** * ** * ** * ***更新* ** * ** * ** * ** * ** * ** * ** * **

ここからサンプル アプリをダウンロードできます: https://github.com/jalagrange/roles_test_app

このアプリには 2 つの例があります。そして、コントローラーの更新アクションで「user_roles.first」を使用しているため、名前のみを変更できる人。お役に立てれば。他の誰かがこの問題を抱えているに違いないと確信しています。

私は 2 つのモデルUserとを持つ Rails アプリケーションを開発していますClient。 Userdevise に支えられ、認証を担当しhas_one Client、特定のユーザーのクライアントの詳細を保持します。Clientを作成するたびにモデルが作成されるようにするため、この関係は常に存在しますUser。

私が使用している管理領域にはActiveAdmin. Userここで、管理インターフェイスから を作成しようとすると、次のようなフォームを使用します。

問題は、UserまたはClientが保存され、ページが検証エラーでリロードされることです。Rails コンソールを確認WARNING: Can't mass-assign protected attributes: client_attributesしましたが、作成しようとするたびにメッセージが表示されますUser。

この問題を調べたところ、一括割り当てを可能にするにattr_accessibleは、割り当てが許可されているフィールドごとに定義する必要があることがわかりました。そのため、上記の各フィールドのモデルにこのディレクティブを配置Clientすると、メッセージが表示され続け、モデルが適切に保存されなくなります。

誰もこれについて手がかりを持っていますか?

Railsのattr_accessibleの反対は何ですか？

すべての属性を書き込むのではなく、ブロックしたい属性だけを記述したいと思います。

Question on mass assignment through nested attributes using mongoid.

Example:

This outputs the following:

If the commented out line

is commented in I instead get the following:

Notice how the hours value is not updated from the default.

Question, why does commenting in attr_accessible mess up my document's persistence. Also I am new to rails and I do not fully understand attr_accessible but I know I need it to fill in fields through my view. How can I get my document to persist using the attr_accessible line commented in?

Thanks