1
我想知道,如果我有一個模型,其中所有的值都可以通過表單設置,我還需要使用attr_accessible嗎?如果attr_accesible未設置,是否有人可以更改ID?
重要的是我想到的是id字段(或者甚至是created_at,updated_at)字段。
如果周圍有表格,我是否應該總是將可訪問字段列入白名單?
A
回答
2
你應該想到,如果將來你會添加一些importaint數據,你會忘記保護它。使用
attr_accessible它將被默認保護。如果在用戶模型中有任何關聯,例如
user has_many :roles, :through => :authorization,則沒有關於此關聯的任何數據,但是黑客可以mass_assignroles_attributes。因此,他將通過用戶模型中的孔更改authorizations表中的數據。此外,他將通過簡單的
has_many :dollars協會傳遞dollar_ids=[1,2,3,4,5,6,7...]通過形式與manupalate。
您還可以檢出約質量分配瑞安的截屏
http://railscasts.com/episodes/26-hackers-love-mass-assignment
1
不,id被明確排除。實際上,將它包含在attr_accessible中仍然不會讓人們覆蓋它。
,但它仍然使用attr_accessible最佳實踐,即使你打算讓人們以更新的一切
相關問題
- 1. MongoDB:是否可以設置ID?
- 2. 是否可以像更改.vim一樣更改vrapper的設置?
- 3. 是否可以動態更改Rails中的cache_classes配置設置?
- 4. 如果沒有HasMany,是否可以將外鍵設置爲null?
- 5. 是否有可能從網絡配置更改IIS設置
- 6. 是否可以更改AVPlayer的背景色?如果是,如何?
- 7. 如果未處理RuntimeException,是否可以設置eclipse以顯示警告?
- 8. 是否有可能以編程方式更新配置設置?
- 9. 是否可以使用Office JavaScript AddIn更改頁面設置?
- 10. 是否可以設置輸入元素的預更改值
- 11. 是否可以使用C#更改Outlook的pop3和ldap設置?
- 12. 如果會話ID更改,是否可以導致方法被觸發?
- 13. 是否可以設置VoiceMailNumber?
- 14. 是否有可能以編程方式修改ATS設置
- 15. 如果Git不知道它是否可以更改代碼?
- 16. 如果公式更改,我是否可以防止計算列更改其值?
- 17. 應用程序的用戶AccountKit ID是否可以更改?
- 18. 是否可以將ID更改爲模型中的屬性?
- 19. 是否可以更改設備設置僅適用於我的應用程序?
- 20. 是否可以從vba更改MS Project選項菜單中的設置?如果是這樣,怎麼樣?
- 21. 是否可以在richtextbox中更改文本的位置?如何?
- 22. 是否可以在選擇框更改時設置/更新jCrop寬高比?
- 23. 是否可以通過ID前綴設置CSS屬性?
- 24. 是否可以將我自己的ID設置爲CKEditor?
- 25. 是否可以通過iPhone設備ID查找位置?
- 26. 是否可以在iPhone上爲動畫設置標籤或ID?
- 27. 是否可以在gst-good-1.8中設置rtph264pay的profile-level-id?
- 28. HTML是否可以設置第二個類繼承主ID?
- 29. 是否可以設置私人TFS簽入政策?
- 30. 春豆ID值是否可以有$?