0
您好我有一个NOOB问题,根据在GITHUB发生的事情,他们的应用程序因为Rails中的安全漏洞而被利用。如何保护属性免受大规模分配
在Rails中保护对象属性的最佳方式是什么,但仍然允许在适用的情况下为它们分配值?
感谢
A
回答
2
事实上的Rails 3.1添加了新的内置的方式来处理大量任务与角色这可能是要看看东西。
发行说明here
基本上它的工作原理是这样的:
class User < ActiveRecord::Base
attr_accessible :name
attr_accessible :name, :role, :as => :admin
end
这是什么让你做的是,你可以用下面的方法来允许用户在一个更新自己的信息你的控制器:
@user.update_attributes(params[:user])
这使用率永远不能更新在用户模式:role属性。但是,当你有你的管理员用户管理在一个单独的控制器的角色,那么你可以通过用户的语法如下:
@user.update_attributes(params[:user], :as => :admin)
这将允许:role属性被更新
相关问题
- 1. 另一个不能大规模分配受保护的属性:地址职位
- 2. 如何避免“无法批量分配受保护的属性”错误
- 3. “不能批量分配受保护的属性”嵌套属性
- 4. Rails的3.2:不是大规模分配进行保护的属性
- 5. Python“受保护”属性
- 6. 无法批量分配受保护的属性:tags_attributes?
- 7. ActiveModel :: MassAssignmentSecurity ::错误:无法批量分配受保护的属性:
- 8. Rails和Rspec--不能批量分配受保护的属性
- 9. 不能批量分配受保护的属性
- 10. 无法批量分配受保护的属性:
- 11. 无法批量分配受保护的属性:用户,课程
- 12. 警告:无法批量分配受保护的属性:课程
- 13. 在派生类中分配受保护的属性
- 14. Rails无法为ID集中分配受保护的属性created_at
- 15. 获取不能批量分配受保护的属性:地址
- 16. 无法批量分配受保护的属性
- 17. Rails - 警告:无法批量分配受保护的属性
- 18. Rails 3.2.12不能批量分配受保护的属性
- 19. 外部魔法:无法批量分配受保护的属性
- 20. 无法批量分配受保护的属性:shift_type_ids,unit_shift_type
- 21. “警告:无法批量分配受保护的属性”
- 22. Rails carrierwave - 无法批量分配受保护的属性错误
- 23. 无法批量分配受保护的属性错误
- 24. 无法批量分配受保护的属性:category_ids
- 25. Rails无法批量分配受保护的属性
- 26. 嵌套形式 - 不能质量分配受保护的属性
- 27. 无法批量分配受保护的属性
- 28. 不能大规模指派保护属性在Activeadmin
- 29. Rails的 - 无法大规模指派保护属性
- 30. 不能大规模指派保护属性,但在attr_accessible
感谢DanneManne帮助。我会这样做的。 – chell 2012-03-08 03:23:02