大量赋值(Mass assignment)

最新推荐文章于 2023-12-13 09:53:19 发布
最新推荐文章于 2023-12-13 09:53:19 发布
阅读量1.6k 收藏
点赞数
分类专栏: 网络安全

Mass assignemet是个Rails专属,因为太方便而造成的安全性议题。ActiveRecord物件在新建或修改时,可以直接传入一个Hash来设定属性(这功能叫做Mass assignment),所以我们可以直接将网页表单上的参数直接丢进放进去:

def create
  # 假设表单送出 params[:user] 参数是
  # {:name => “ihover”, :email => "ihover@gmail.com", :is_admin => true}

  @user = User.create(params[:user])
end

def update
  @user = User.update(params[:user])
end

但是这个Model包含一些敏感属性,例如此例中is_admin是个辨别是否是管理员的Boolean值,恶意的使用者可以直接修改HTML表单送出is_admin=true,造成了安全上的漏洞,所以以上的程式实际上会出现ActiveModel::ForbiddenAttributesError的安全错误讯息。
为了解决这个问题,Rails使用了Strong Parameters的机制来检查params参数必须经过检查才可以做Mass assignment,例如上述的程式必须改成:

def create
  @user = User.create(user_params)
end

def update
  @user = User.update(user_params)
end

protected

def user_params
    params.require(:user).permit(:name, :email)
end

这样才可以一次赋值name和email。
当然,如果你没有Mass assignment的需求,大可不必用到Strong Parameters技巧,例如以下的程式也是可以运作的:

def create
  @user = User.create( :name => params[:user][:name], :email => params[:user][:email] )
end
CauchyBDS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于表单大量赋值input,radio
这里是痞子Monkey的博客
12-07 726
关于这种表单文本,获取详情信息赋值到每一个对应的内容,需通过name来赋值。 <form class="mui-input-group" id="userform" name="Uform"> <div class="mui-input-row"> <label>姓名</label> <input type="text" class="mui-input-clear" id="names1" name="names1" placehol..
Laravel中批量赋值Mass-Assignment的真正含义详解
10-19
Laravel作为在国内国外都颇为流行的PHP框架,风格优雅,其拥有自己的一些特点,下面这篇文章主要给大家介绍了关于Laravel中批量赋值Mass-Assignment的真正含义,需要的朋友可以参考借鉴,下面随着小编来一起学习学习...
026 ***喜欢mass assignment
weixin_34407348的博客
02-19 121
Hackers Love Mass Assignment Your site may be at risk! When using mass assignment, you are giving the user complete control over that model and its associations. See how a hacker might u...
Mass Assignment 防止Hacked
weixin_33835690的博客
11-27 163
涉及到一个安全问题,可能有人会利用这个问题进行Hack,加以注意可以避免。 官方说明地址:http://guides.rubyonrails.org/security.html#mass-assignment Railscasts-china视频地址:http://railscasts-china.com/episodes/mass-assignment?autoplay=true由Terr...
GitHub遭遇Mass Assignment漏洞攻击
cpongo5
03-19 335
GitHub最近遭遇了一场Ruby on Rails漏洞攻击,该漏洞被称为mass assignment。此漏洞被认为不仅影响了大量基于Ruby的网站,还对使用ASP.NET MVC和其他ORM Web框架的网站造成了破坏。\Mass assignment用于将表单数据映射为对象,它在单独使用时是一项安全且高效的技术。这与ASP.NET中的数据绑定异曲同工,并且后者在单独使用时也同样很安全。其实,...
Laravel开发-fillable
08-28
这个特性允许我们定义哪些属性可以被批量赋值mass assignment),从而提高代码的安全性和效率。下面我们将深入探讨`fillable`的相关知识点。 一、批量赋值与安全问题 在Laravel中,当我们创建一个新的模型实例并...
Laravel开发-safe-data-objects
08-28
Eloquent模型提供了`fill()`方法,用于批量赋值,但为了安全,它使用了mass assignment protection(大规模赋值保护)。只有在模型的`$fillable`属性中列出的属性才能被批量赋值,防止了恶意用户通过POST数据修改未...
Ruby-ActiveAttr一组模块让用户可以更方便地创建普通带功能的Ruby模型
08-15
2. **Mass Assignment**:批量赋值功能,可以通过哈希参数一次性设置多个属性的值,如`new(attributes)`或`update_attributes(attributes)`。 3. **Validation**:提供了基本的数据验证,如`validates :name, ...
Mass assignment 漏洞
kezhen的专栏
06-07 6119
1、http://blog.mhartl.com/2008/09/21/mass-assignment-in-rails-applications/ This is a brief review of mass assignment in Rails. See the follow-up post on Finding and fixing mass assignment probl
springMvc技术分享
11-05
SpringMVC的教学ppt,内含Spring基本介绍,hello world代码实现,以及与SpringBoot的对比
使用模型::create()出现MassAssignmentException in Model.php的问题
fishermanmax的博客
08-27 1337
注意定义的$fillable集合是否与create里面的集合字段一致!!
assignment java_Java 关于我的Assignment
weixin_35695142的博客
02-19 316
展开全部importjava.util.Scanner;publicclassDemo{/***@paramargs*/publicstaticvoidmain(String[]args){62616964757a686964616fe78988e69d8331333337613165Strings="";Scannerscanner=newScanner(Sy...
使用springboot+mybatis拦截器实现身份证等生产敏感数据的加解密
TanzJ的博客
01-25 6594
在实际生产项目中,经常需要对如身份证信息、手机号、真实姓名等的敏感数据进行加密数据库存储,但在业务代码中对敏感信息进行手动加解密则十分不优雅,甚至会存在错加密、漏加密、业务人员需要知道实际的加密规则等的情况。本文将介绍使用springboot+mybatis拦截器+自定义注解的形式对敏感数据进行存储前拦截加密的详细过程。 目录 一、什么是Mybatis Plugin 二、实现基于注解的敏...
解决高风险代码:Mass Assignment: Insecure Binder Configuration
最新发布
qq_45752401的博客
12-13 2422
用于 JSON 和 XML 处理的库,可以采用不同的方法控制绑定过程。示例 7: 使用 Jackson 库从 JSON 文档绑定的模型可以通过不同的注释控制绑定过程,例如 @JsonIgnore。在使用 @ModelAttribute 注释参数的 Spring MVC 应用程序中,可以配置绑定器以控制应绑定的属。的一些示例: 示例 6: 使用 Oracle 的 JAXB 库从 XML 文档绑定的模型可以通过不同的注释控制绑定过程,如果某个属性不应绑定到请求,则应将其 setter 设置为私有。
laravel 使用create 报错 MassAssignmentException
lxw1844912514的博客
07-11 1701
在使用: 模型:create时报错,Add [name] to fillable property to allow mass assignment on [App\AdminUser].,因为extends Authenticatable而不是app\model, 需要在 AdminUser模型中添加protected $guarded = [];//不可以注入数据字段 ...
asp.net 表单绑定_ASP.NET-过度发布/大量分配模型绑定安全性
cunfuxiao7305的博客
10-12 140
This little post is just a reminder that while Model Binding in ASP.NET is very cool, you should be aware of the properties (and semantics of those properties) that your object has, and whether or not...
laravel 填坑 to fillable property to allow mass assignment on
热门推荐
genziisme的专栏
06-05 2万+
post修改数据的时候,返回的错误状态解决方法:在对应的model里面添加对应的字段即可&lt;?php namespace App\Api\Models; use Illuminate\Database\Eloquent\Model; class User extends Model { // 加上对应的字段 protected $fillable = ['name', '...
API成批分配漏洞介绍与解决方案
sinat_31583645的博客
12-01 5010
批量分配:在API的业务对象或数据结构中,通常存在多个属性,攻击者通过篡改属性值的方式,达到攻击目的。比如通过设置user.is_admin和user.is_manager的值提升用户权限等级;假设某API的默认接口调用参数为{"user_name":"user","is_admin":0},而恶意攻击者修改请求参数,提交值为{"user_name":"attacker","is_admin":1},通过修改参数is_admin的值来提升为管理员权限。
API mass assignment
05-19
API mass assignment refers to the practice of allowing users to send a single HTTP request with multiple parameters to create or update multiple records in a database. This can be useful for bulk operations, but it also poses a security risk as it can allow users to modify data that they are not authorized to access or manipulate. To prevent API mass assignment vulnerabilities, developers need to implement proper validation and authorization checks to ensure that users can only modify the data that they are authorized to access. Additionally, developers can limit the number of parameters that can be submitted in a single request to further reduce the risk of API mass assignment attacks.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值