0
您好我有一個NOOB問題,根據在GITHUB發生的事情,他們的應用程序因爲Rails中的安全漏洞而被利用。如何保護屬性免受大規模分配
在Rails中保護對象屬性的最佳方式是什麼,但仍然允許在適用的情況下爲它們分配值?
感謝
A
回答
2
事實上的Rails 3.1添加了新的內置的方式來處理大量任務與角色這可能是要看看東西。
發行說明here
基本上它的工作原理是這樣的:
class User < ActiveRecord::Base
attr_accessible :name
attr_accessible :name, :role, :as => :admin
end
這是什麼讓你做的是,你可以用下面的方法來允許用戶在一個更新自己的信息你的控制器:
@user.update_attributes(params[:user])
這使用率永遠不能更新在用戶模式:role屬性。但是,當你有你的管理員用戶管理在一個單獨的控制器的角色,那麼你可以通過用戶的語法如下:
@user.update_attributes(params[:user], :as => :admin)
這將允許:role屬性被更新
相關問題
- 1. 另一個不能大規模分配受保護的屬性:地址職位
- 2. 如何避免「無法批量分配受保護的屬性」錯誤
- 3. 如何保護蒙古語中的字段不受大規模分配?
- 4. 「不能批量分配受保護的屬性」嵌套屬性
- 5. 嵌套屬性:無法大規模指派保護屬性
- 6. Rails的3.2:不是大規模分配進行保護的屬性
- 7. 無法批量分配受保護的屬性:配置文件,
- 8. 強大的參數不能大規模指派保護屬性
- 9. Cython,受保護的屬性
- 10. Python「受保護」屬性
- 11. 如何與受保護模式的工作屬性 - 外鍵(質量,分配保護錯誤)
- 12. 「無法批量分配受保護的屬性」與嵌套的受保護模型
- 13. Rails 3.2無法批量分配受保護的屬性:r
- 14. 無法批量分配受保護的屬性:category_ids
- 15. 警告:無法批量分配受保護的屬性:課程
- 16. 不能批量分配受保護的屬性
- 17. 無法批量分配受保護的屬性:post_id
- 18. 無法批量分配受保護的屬性:約會
- 19. 「警告:無法批量分配受保護的屬性」
- 20. Rails無法爲ID集中分配受保護的屬性created_at
- 21. 在導軌4中質量分配受保護的屬性
- 22. 不能批量分配受保護的屬性:
- 23. Rails無法批量分配受保護的屬性
- 24. 無法批量分配受保護的屬性:stripe_card_token
- 25. Rails carrierwave - 無法批量分配受保護的屬性錯誤
- 26. rake db:seed thorwing無法批量分配受保護的屬性
- 27. Rails POST JSON不能批量分配受保護的屬性
- 28. 在Rails中分配受保護的屬性
- 29. 嵌套窗體「無法批量分配受保護的屬性」
- 30. 無法批量分配受保護的屬性:
感謝DanneManne幫助。我會這樣做的。 – chell 2012-03-08 03:23:02