2017-05-07 62 views
0

我有一個Rails 5應用通過限制訪問某些控制器操作/視圖來保護。Rails查看黑客安全

至於基於行安全去,是有可能,內導軌查看最終用戶通過操縱的東西的視圖類似Datum.all.pluck(:sensitive_column)假設沒有PARAMS在被傳遞到破解它。

或者是過濾數據在控制器中的where子句足夠類似where(current_user.id = user_id)

回答

0

首先,您可能想要清理您的查詢字符串,以便人們無法執行SQL注入。 Rails Security Guide給出了很多這方面的基本信息。

而不是從視圖中考慮這一點,請從您在控制器中創建的實例變量考慮此問題。理想情況下,您希望在查看視圖很久之前對其進行搜索。

因此,在您的Datum模型中,您可以設置範圍以允許某些用戶訪問數據,而其他人則不能。

如果您有各種類型的用戶,像CanCanCan這樣的身份驗證方法可能更適合您的小巷。