Rails 3.1不能爲非數據庫模型批量分配受保護屬性

Question

處理attr_accessor的導軌3.1部分顯然已損壞。

我有幾個模型根本沒有數據庫，有些模型的屬性沒有保留。

例子：

class User < ActiveRecord::Base 

    #persisted attribs 
    attr_accessible :name, :email, :password, :password_confirmation, :is_admin, :permissions 

    #non persisted attribs<br /> 
    attr_accessor :roseburg, :kfc, :kcpl 
    ........ 

，如果我試圖保存在控制器上創建的用戶或更新

def create<br /> 
    @user = User.new(params[:user]) 

或

def update 
    @user = User.find(params[:id]) 

    respond_to do |format| 
    if @user.update_attributes(params[:user])  

我得到一個錯誤類似Cannot mass assign protected attributes :roseburg, :kfc, :kcpl

解決方法是填充屬性並使用保存方法。

def create 
    @user = User.new    

    (params[:user]).each do |attr_name, attr_value| 
    if @user.respond_to?("#{attr_name}") 
     @user.send("#{attr_name}=", attr_value)     
    end 
    end 

    @user.save 
    ..... 

和

def update 
    @user = User.find(params[:id]) 
    respond_to do |format| 

    (params[:user]).each do |attr_name, attr_value| 
    if @user.respond_to?("#{attr_name}") 
     @user.send("#{attr_name}=", attr_value)     
    end  
    end 

    if @user.save 
    .... 

我的問題是，這是否有安全有什麼影響？

Answer 1

當你傳遞一個哈希像new，create，或update_attributes的方法，Rails會確保你只能大規模分配了與attr_accessible允許的屬性（或者，將不允許屬性與attr_protected黑名單） 。

如果不加:roseburg，:kfc，並:kcpl到attr_accessible，它會拋出一個大規模分配錯誤像你描述的一個。

通過attr_accessor定義它們只能確保您擁有setter和getters（例如，roseburg=和roseburg），這與Rails的質量分配檢查無關。 attr_accessor實際上是一個Ruby構造，而不是由ActiveRecord提供的任何東西。

如果您未將非持久屬性添加到attr_accessible，則需要在初始化模型實例時手動分配值，就像您在問題中描述的一樣。