如何限制show動作可用的記錄?我遇到的問題是,您可以手動更改URL中的ID並查看不屬於該公司的項目。將記錄匹配到show動作中的嵌套路線
我的路線是這樣的:
/公司/:ID /項目/:ID
這是表演動作
projects_controller.rb
def show
@project = Project.find(params[:id])
@company = Company.find(params[:company_id])
respond_to do |format|
format.html # show.html.erb
format.json { render json: @project }
end
end
的routes.rb
resources :companies do
resources :projects
resources :employees
resources :requests do
put 'accept', :on => :member
end
end
project.rb
class Project < ActiveRecord::Base
attr_accessible :title
belongs_to :company
validates :title, presence: true
end
company.rb
類公司<的ActiveRecord :: Base的 attr_accessible:命名
has_many :projects
末
企業和項目是否有關聯? – PriteshJ
是的,我已經添加了一些模型代碼來顯示設置 –