rails中ActiveModel::ForbiddenAttributesError的解决方案(新）

最近总是遇到这个问题，因为我看的资料都是Rails3.2的，但是用的开发环境是4.0的，而4.0增加了一些安全措施

这类错误大多出现在new或者create两个action中

[ruby]  view plain copy print ?

1. def create  
2.      #params.permit!  
3.      @post = Post.find(params[:post_id])  
4.      @comment = @post.comments.new(params[:comment])  
5.      @comment.save  
6.     redirect_to @post  
7.   end  

错误出现在：

[ruby]  view plain copy print ?

1. @comment = @post.comments.new(params[:comment])  

以前我的处理方法很粗暴，就是直接在方法的前面加上params.permit! 见上述代码注释的那行，但这样做不太安全， 原因见下面

因为初始化整个 params Hash 是十分危险的，一旦初始化就会把用户提交的所有数据传递给 User.new 方法。假设除了前述的属性，User 模型还包含 admin 属性，用来标识网站的管理员。（我们会在 9.4.1 节加入这个属性。）要把这个属性设为 true，就要在 params[:user] 中包含 admin='1'，这个过程可以轻易的使用 curl 这种命令行 HTTP 客户端实现。结果是，把整个 params 传递给 User.new 网站的任一用户都可以在请求中包含 admin='1' 来获取管理员权限。

基于这种状况，我加上params.permit!

又回到了4.0之前的情况。
正确的处理是这样的，我们之允许需要的参数传进来
将params[:comment]改为comment_params 
并为comment_params建立一个私有方法  

[ruby]  view plain copy print ?

1. class CommentsController <ApplicationController  
2.   
3.   def new  
4.   end  
5.   
6.   def create  
7.      #params.permit!  
8.      @post = Post.find(params[:post_id])  
9.      @comment = @post.comments.new(comment_params)  
10.      @comment.save  
11.     redirect_to @post  
12.   end  
13.   
14.   private  
15.   
16.   def comment_params  
17.     params.require(:comment).permit(:post_id , :content)  
18.   end  
19.   
20. end  

错误解决！