rails 数据表单的保护:attr_accessor, attr_accessible and attr_protected

最新推荐文章于 2016-12-22 15:52:27 发布
最新推荐文章于 2016-12-22 15:52:27 发布
阅读量96 收藏
点赞数
分类专栏: Ruby On Rails 文章标签: Rails
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010744827/article/details/84262991
版权

来自:http://www.cnblogs.com/rywx/archive/2012/05/20/2510597.html

 

rails 数据表单的保护:attr_accessor, attr_accessible and attr_protected

attr_accessor是Ruby语言的内置方法,此方法是为变量自动生成get set方法,从而可以省去一堆重复的get set方法。

 

attr_accessible和attr_protected是rails框架提供的方法,使用的场景是如下的情况:

 

收到表单,传统的方式是这样的:

user = User.new
user.user_name = params["user[user_name]"]
user.password = params["user[password]"]

这个代码违法了DRY原则,所以rails支持用下面的方式来快速创建对象:

user = User.new params[:user]

通过CoC,此时会自动把params中的user_name和password赋值给user对象的对应属性。这样,不管user有多少个属性,只需要一行代码就搞定。

 

user = User.new params[:user],这种赋值方式,rails这帮guy就骑了个名字叫做  mass assignment

 

但是这个同时带来另外一个问题,User的某些属性不希望通过浏览器的方式(有可能是通过手动编写的程序提交表单,而不是通过浏览器的form)来修改,比如:user.is_admin,这样如果有人恶意通过程序来调用此接口,就会出现安全漏洞,把自己升级为管理员。

 

为了避免这样的情况,rails提供了两个方法(attr_accessible和attr_protected),用来限制哪些属性可以通过这种方式更新,哪些属性不能这样。

attr_accessible相当于是白名单,定义哪些属性可以被mass assignment(大量赋值)

attr_protected相当于是黑名单,定义哪些属性不可以被mass assignment

 

 

Mass assignemet是個Rails專屬,因為太方便而造成的安全性議題。ActiveRecord物件在新建或修改時,可以直接傳入一個Hash來設定屬性(這功能叫做Mass assignment):

def create
  params[:user] #=> {:name => “ow3ned”, :is_admin => true}
  @user = User.create(params[:user])
end

def update
  @user = User.update_attributes(params[:user])
end

但是如果這個Model包含一些敏感屬性,例如此例中is_admin是個辨別是否是管理員的Boolean值,它不應該讓使用者可以修改。這時候我們就必須用attr_protectedattr_accessible方法來保護這些屬性:

class User < ActiveRecord::Base
  attr_protected :is_admin
end

使用attr_protected是黑名單,在Mass assignment時就會略過這個is_admin這個屬性。或是使用attr_accessible則是白名單,在Mass assignment時只會設定這些屬性:

class User < ActiveRecord::Base
  attr_accessible :name
end

這些被保護的屬性如果要給值,你就必須手動來了,而且通常會在不同的Controller,例如只會出現在後台管理中:

params[:user] #=> {:name => "ow3ned", :is_admin => true}
@user = User.new(params[:user])
@user.is_admin #=> false # not mass-assigned
@user.is_admin = true
@user.is_admin #=> true
u010744827
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
factory_bot_rails:工厂机器人:heart_suit:Rails
02-26
factory_bot_rails 用简单的定义语法替换了固定装置,支持多种构建策略(保存的实例,未保存的实例,属性哈希和存根对象),并且支持同一类的多个工厂( user , admin_user等),包括工厂继承。 从factory_girl_...
rails-ranger::cowboy_hat_face:坚定的Ruby on Rails API的AJAX客户端
02-05
主要特点遵循Ruby on Rails路由约定的URL构建在前端和API之间交换数据时,自动将camelCase转换为snake_case并返回至camelCase安装npm install --save rails-ranger 要么yarn add rails-ranger入门如果您喜欢博客文章...
railsattr_accessibleattr_accessor
Jim Liang的博客
12-22 1286
就在刚刚被这两个东西卡住了一个小时,现在总结这点小知识   attr_accessible 是一个rails方法,它可以放实例变量进一个mass assignmen   在attr_accessible之后的属性,进入了白名单,有默认的get,set方法,但是这些属性,必须在schema里面存在它们的名字,就是说要migrate添加到数据库的表里面,可以通过CRUD来操作这些属性在数据库的
Rails3中的attr_accessibleattr_protectedRails4+的强制参数
ミ安之偌素
09-14 961
attr_accessibleattr_protected这两个方法最后可用的版本为rails3.2.13,用于在对model进行大量赋值时,通过指定白名单(attr_accessible)或黑名单(attr_protected)的方式,确保安全性。 attr_accessibleh和attr_protected区别的详细说明。在rails4中,对大量赋值的控制提升到了controller层,采
attr_accessible
baidu_26981565的博客
02-18 276
新建的时候Model里面有一个attr_accessible,从英文全称是attibutes accessible,字面意思是属性可访问 比如执行rails g model User name:string email:string,会建立如下的文件并自动添加上attr_accessibleclass User < ActiveRecord::Base attr_accessible :name
Ruby attr_accessible, validates, attr_accessor, cattr_accessor 区别
Men-DD
11-05 5126
attr_accessible 新建的时候Model里面有一个attr_accessible,从英文全称是attibutes accessible,字面意思是属性可访问 比如执行rails g model User name:string email:string,会建立如下的文件并自动添加上attr_accessible class User attr_accessib
attr_accessor vs attr_accessible
Talents come from diligence
09-01 682
attr_accessible is used to identify attributes that are accessible by your controller methods. This is to protect your models from being w
For-Rails-Beginners::Japanese_symbol_for_beginner:Ruby on Rails的初学者有福了
02-06
Ruby on Rails,简称Rails,是基于Ruby语言的开源Web应用框架,它遵循MVC(Model-View-Controller)架构模式,旨在使Web开发更高效、更简洁。本资源"For-Rails-Beginners"显然是为那些希望入门Ruby on Rails的初学者...
rails_api_base:rails_api_base
04-07
自述文件 该自述文件通常会记录启动和运行应用程序所需的所有步骤。 您可能要讲的内容: Ruby版本 系统依赖 配置 数据库创建 数据库初始化 如何运行测试套件 服务(作业队列,缓存服务器,搜索引擎等) ...
todds_blog:Basic Rails博客:man_technologist::railway_track::writing_hand:
02-05
持续移动且不破坏事物 ‍:factory: :building_construction: :construction: :construction_worker: 正在建设中-请稍后再回来!
rails 之 render 介绍
John
07-16 457
来自:http://www.cnblogs.com/lwm-1988/archive/2011/09/13/2175041.html 1. partial   1.1 把partial作为view的一部分来渲染,可以调用render方法: &lt;%=render :partial=&gt;"menu"%&gt; 上面的代码会把文件名为_menu.html.erb的模板渲染到...
Rails开发过程中,避免使用bundle exec的解决方案
John
08-09 430
1.为什么会出现bundle exec的情况? bundle exec这个前缀,是为了保持本地所云行的gem与gemfile里面指定的gem是一致的,否则,会因为版本问题,出现各种小的bug,有时候让开发者无所适从。 为了,消除bundle exec这个前缀的同时,而让本地完全按照gemfile里面所指定的版本执行,所以有了这篇文章。   2.解决方案:RVM与bundler集成 这也是...
Rails中使用accepts_nested_attributes_for,嵌套表单
John
07-27 354
来自:http://www.niancode.com/?p=268   在rails2.3开始提供了accepts_nested_attributes_for来使得嵌套表单变得简单丑陋的… class Product &lt; ActiveRecord::Base has_one :detail end class Detail &lt; ActiveRecord::Ba...
RVM 用法
John
07-08 349
转载自:http://blog.sina.com.cn/s/blog_67bb06c9010109ai.htmlRVM简介Ruby Version Manager,Ruby版本管理器,包括Ruby的版本管理和Gem库管理(gemset)。目前支持Ruby的大多数版本,有 1.8.7,1.9.1,1.9.2和Ruby Enterprise Editon,通过RVM可以很方便的在多个Ruby版本中快速...
用RVM安装多版本rails
John
08-07 295
为了方便在rails不同版本之间切换,就要使用RVM。   来自豆瓣: Rails 3 RC 版半个月前就已经发布,而正式版据说会在未来几周内面世。相对于 2.3 版,Rails 3 差不多在各个方面都作出了改进。如果你准备开发新项目,现在应该是时候体验 Rails 3 的新功能了。本文将带领你在 Ubuntu 上安装 Rails 3 开发环境,你会发现,这个过程和安装 Rails 2.3 ...
Ruby中全局变量,实例变量,局部变量,类变量,Symbol对比
John
08-02 264
来自:http://rubyer.me/blog/485   Ruby中全局变量,实例变量,类变量,Symbol这些东西经常和其它语言如Java有很大不同,很容易搞混,所以做个总结。首先是不些命名的约定,注意这些约定是强制性的: 格式 名称 是否需初始化 作用范围 举例 $开头 全局变量 不用,初始前为nil 从定义时开始,直到程序结束 $user @开头 ...
RubyGems简介和使用
John
07-09 253
文章一来自:http://lanvige.iteye.com/blog/804477   Gem介绍   Gem是一个ruby库和程序的标准包,它通过RubyGem来定位、安装、升级和卸载,非常的便捷。   Ruby 1.9.2版本默认安装RubyGem,如果你使用其它版本,请参考如何安装RubyGem。   升级RubyGem   Ruby代码    ...
Rails 3.0.3入门教程:中文翻译与实践指南
本文档是一份详细的Rails入门笔记,主要基于Ruby on Rails (Rails) 3.0.3的官方教程进行翻译和整理。Rails是一个流行的Web开发框架,它结合了Ruby编程语言和MVC(Model-View-Controller)架构,强调简洁高效(DRY - ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值