Mass assignemet是个Rails专属,因为太方便而造成的安全性议题。ActiveRecord物件在新建或修改时,可以直接传入一个Hash来设定属性(这功能叫做Mass assignment),所以我们可以直接将网页表单上的参数直接丢进放进去:
def create
# 假设表单送出 params[:user] 参数是
# {:name => “ihover”, :email => "ihover@gmail.com", :is_admin => true}
@user = User.create(params[:user])
end
def update
@user = User.update(params[:user])
end
但是这个Model包含一些敏感属性,例如此例中is_admin是个辨别是否是管理员的Boolean值,恶意的使用者可以直接修改HTML表单送出is_admin=true,造成了安全上的漏洞,所以以上的程式实际上会出现ActiveModel::ForbiddenAttributesError的安全错误讯息。
为了解决这个问题,Rails使用了Strong Parameters的机制来检查params参数必须经过检查才可以做Mass assignment,例如上述的程式必须改成:
def create
@user = User.create(user_params)
end
def update
@user = User.update(user_params)
end
protected
def user_params
params.require(:user).permit(:name, :email)
end
这样才可以一次赋值name和email。
当然,如果你没有Mass assignment的需求,大可不必用到Strong Parameters技巧,例如以下的程式也是可以运作的:
def create
@user = User.create( :name => params[:user][:name], :email => params[:user][:email] )
end