通過傳遞params來創建新模型是否安全？

Question

我有一個評論模型。我正在通過將參數從我的視圖傳遞給註釋控制器來創建該模型的新實例。以下是評論控制器：

class CommentsController < ApplicationController 
    def create 
    session[:return_to] = request.referrer 
    @comment = Comment.create(:user_id => current_user.id, 
          :issue_id => params[:issue_id], 
          :content => params[:content]) 
    redirect_to session[:return_to] 
    end 
end 

這裏是我想過去的PARAMS在我看來：

<%= link_to "Test Comment", comments_path(:issue_id => @issue.id, 
              :content => "HeLLO"), 
          method: :create %> 

我的問題是 - 這是安全的？什麼阻止某人更改params [：issue_id]並評論其他問題？有沒有更好的方法來做到這一點？

Answer 1

是的，有更好的方法

首先，我們期待你的控制器。存儲引用和重定向回它沒有任何意義（至少你不應該保存在一個會話中）rails可以用key：back來做到這一點。

在第二，你不需要用@來形容變化，因爲你不使用創建的對象。而且你也不需要保存修復。只是做

class CommentsController < ApplicationController 
    def create 
    Comment.create(:user=>current_user, :issue_id=>params[:issue_id],:content=> params[:content]) 
    redirect_to :back 
    end 
end 

++編輯

實際上是一個更好的方式是向它是這樣的：

class CommentsController < ApplicationController 
    def create 
    current_user.comments.create(issue_id: params[:issue_id], content: params[:content]) 
    redirect_to :back 
    end 
end 

只是用鋼軌協會

- 編輯

，正如您所想的那樣，是的，我們可以更改issue_id併爲任何我想要的問題寫評論。所以，如果你想保護這個，你必須做的做幫手，你箱子，再發表評論（它只是一個例子）

class CommentsController < ApplicationController 
    def create 
    issue = Issue.find(params[:issue_id] 
    if issue.is_locked? || current_user.cant_write_at_issue(issue) 
     return redirect_to :back, :notice=>"You dont have Privilegs" 
    end 
    issue.comments.create :user=>current_user, :content=>params[:content]) 
    redirect_to :back :notice=>"Comment was created successfully" 
    end 
end 

is_locked和cant_write_at_issue你需要在你的模型來定義。這只是一種如何保護某些東西的方法。

所以現在我們可以改變問題ID但你看看用戶是否有這樣做的:-)