强参数 Strong parameters: Dealing with mass assignment in the controller instead of the model

最新推荐文章于 2021-08-27 17:40:53 发布
最新推荐文章于 2021-08-27 17:40:53 发布
阅读量684 收藏
点赞数
分类专栏: RAILS 3&4

We're exploring a new way to deal with mass-assignment protection in Rails. Or actually, it's not really a new way, it's more of an extraction of established practice with some vinegar mixed in for when you forget. This new approach is going to be a part of Rails 4.0 by default, but we'd like your help in testing and forming it well in advance of that release.

Strong parameters

This new approach is an extraction of the slice pattern and we're calling the plugin for it strong_parameters (already available as a gem as well). The basic idea is to move mass-assignment protection out of the model and into the controller where it belongs.

The whole point of the controller is to control the flow between user and application, including authentication, authorization, and as part of that access control. We should never have put mass-assignment protection into the model, and many people stopped doing so long ago with a move to the slice pattern or a variation there of. It's time to extract that pattern and bring it to the people.

Example

class PeopleController < ActionController::Base
  # This will raise an ActiveModel::ForbiddenAttributes exception because it's using mass assignment
  # without an explicit permit step.
  def create
    Person.create(params[:person])
  end

  # This will pass with flying colors as long as there's a person key in the parameters, otherwise
  # it'll raise a ActionController::MissingParameter exception, which will get caught by 
  # ActionController::Base and turned into that 400 Bad Request reply.
  def update
    redirect_to current_account.people.find(params[:id]).tap do |person|
      person.update_attributes!(person_params)
    end
  end

  private
    # Using a private method to encapsulate the permissible parameters is just a good pattern
    # since you'll be able to reuse the same permit list between create and update. Also, you
    # can specialize this method with per-user checking of permissible attributes.
    def person_params
      params.required(:person).permit(:name, :age)
    end
end

转自:http://weblog.rubyonrails.org/2012/3/21/strong-parameters/

dazhi_100
关注
专栏目录
CVPR2017论文摘要汇总
super_chicken的博客
04-09 1万+
1. Exclusivity-Consistency Regularized Multi-view Subspace Clustering Abstract: Multi-view subspace clustering aims to partition a set of multi-source data into their underlying groups. To boost the ...
Multi-Label classification: Dealing with Imbalance by Combining Labels
02-06
### 多标签分类:通过合并标签处理不平衡问题 #### 摘要与介绍 本文讨论了一个在多标签分类(Multi-Label Classification, MLC)领域中的常见问题——数据不平衡,并提出了一种新颖的方法来解决这一难题。...
淺談Rails 4 中Strong Parameters機制
05-01 239
要弄明白Rails 4 中Strong Parameters機制,首先我們要看看Rails3中的Parameters 在 Rails3 中創建或更新 Active Record 對象時,會有 Mass Assignment 安全問題。所以 Model 中需要列一個白名單,聲明哪些屬性可以被 parameter 的數據更新。 Rails 3 # kings_controlle
2020年 ICLR 国际会议最终接受论文(poster-paper)列表(一)
yinizhilianlove的博客
02-21 1万+
来源:AINLPer微信公众号(点击了解一下吧) 编辑: ShuYini 校稿: ShuYini 时间: 2020-01-22     2020年的ICLR会议将于今年的4月26日-4月30日在Millennium Hall, Addis Ababa ETHIOPIA(埃塞俄比亚首都亚的斯亚贝巴 千禧大厅)举行。     2020年ICLR会议(Eighth International Con...
四川大学软件学院操作系统笔记
SCU软件学院篮球队19级队长的博客
08-27 8666
四川大学软件学院操作系统的相关内容,包括了课堂笔记、学长/学姐的答案的网址等
2000个软件开发领域的高频特殊词及精选例句(一)
03-26 3143
superword是一个Java实现的英文单词分析软件,主要研究英语单词音近形似转化规律、前缀后缀规律、词之间的相似性规律等等。 1、单词 hadoop 的匹配文本:   Subash D'Souza is a professional software developer with strong expertise in crunching big data using Hado...
0MQ
Max_Cong的博客
05-30 1万+
ØMQ - The Guide Table of Contents By Pieter Hintjens, CEO of iMatix Please use the issue tracker for all comments and errata(勘误表). This version covers the latest stable(稳定的) relea
unity3d版本更新日志
HDS--By
05-23 2万+
What's new in Unity 4.1.2: March 26th, 2013 Features: · Web Player: Secret information can now be injected into a running web player via Javascript, with access to that information controlled by
插件8:拼写检查
热门推荐
dearbaba_1666的博客
06-27 12万+
&lt;?php // Plug-in 8: Spell Check // This is an executable example with additional code supplie
ZMQ guider
凌风探梅的专栏
03-19 1万+
FROM: http://zguide.zeromq.org/page:all                               ØMQ - The Guide Table of Contents By Pieter Hintjens, CEO of iMatix Please use the issue tracker for all com
Dealing with the Structured Scene in Visual Odometry(VO): Incomplete SURF
02-06
# 处理视觉里程计(VO)中的结构化场景:不完整SURF方法 ## 摘要 本文探讨了在结构化环境中处理视觉里程计(VO)的问题。当前常用的特征提取方法,如Harris角点检测、SURF、ORB等,在大多数情况下表现良好,但在...
Dealing with Undesirable Outputs in DEA: A Slacks-based Measure(SBM) Approach
04-10
在进行数据包络分析(Data Envelopment Analysis, DEA)研究时,经常需要面对的问题之一是如何处理非期望产出(undesirable outputs)。传统DEA模型在处理生产效率分析时通常假设决策单元(Decision Making Units, ...
Image Processing:Dealing With Texture
11-27
《图像处理:处理纹理》是图像处理领域内一部权威性的著作,由Maria Petrou和Pedro Garcia Sevilla两位学者共同编写,他们分别来自英国伦敦帝国理工学院和西班牙卡斯特利翁的Jaume I大学。该书由全球知名的学术出版...
卡通风格化魔法术技能粒子特效 :Toon Projectiles 2 1.0
10-19
这款卡通射击特效资源包提供了 15 种独特的射击物、命中效果和闪光效果,风格统一且易于与您的项目集成。它默认支持 Unity 的内置渲染器,并且兼容 HDRP 和 URP 渲染管线。如果您拥有 Hovl Studio 的其他资源,该包将免费提供。所有效果均在各平台兼容,并且可以通过标准尺寸值轻松调整命中效果的大小。需要注意的是,调整射击物大小时,可能需要修改轨迹长度和按距离生成的速率。 该资源还包含了一个演示场景射击脚本,方便用户快速了解如何使用这些特效。该资源包还与 InfinityPBR 的 Projectile Factory 插件兼容,可以进一步增您的射击游戏效果。 需要注意的是,推广媒体中使用的后处理效果 "Bloom" 并非资源包自带,建议用户在下载资源包之前,先行从 Unity 包管理器下载 "Post Processing Stack"。HDRP 和 URP 渲染管线的用户可以直接利用内置的 "Volume" 组件中的 "Bloom" 效果。
在 MATLAB GUI 中动态更新数据:策略与实践
10-19
通过本文的详细介绍,你应该能够理解如何在 MATLAB GUI 中更新数据。从设计 GUI 界面到处理用户输入,再到动态更新数据,每一步都是构建交互式 MATLAB 应用程序的关键。通过实际的代码示例,你可以更深入地理解这些概念,并将其应用到你自己的项目中。 记住,GUI 的设计和实现是一个迭代的过程。随着你对用户需求的更深入了解,你可能需要不断调整和优化你的 GUI。通过持续的测试和反馈,你可以创建一个既美观又功能大的 MATLAB GUI 应用程序
【JCR一区级】Matlab实现白鹭群优化算法ESOA-CNN-BiLSTM-Attention的故障诊断算法研究.rar
最新发布
10-20
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
信创实验室建设方案(24页).pptx
10-19
信创实验室建设方案(24页)
KGBrowserSetup-x86-V1.0.0.100-20190315.exe
10-19
KGBrowserSetup_x86_V1.0.0.100_20190315.exe
What’s the biggest advantage of implementing thread in user space? What’s the biggest disadvantage?
05-12
The biggest advantage of implementing threads in user space is that it can be done without the involvement of the operating system kernel, which is a complex and time-consuming task. This can result ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值