许多评论员(例如ZDNet)认为 GitHub 案例的弱点在于,Homakov 发现的模型易受攻击,因为它的属性启用了质量分配。
但是,我认为问题不在于这个,而是未能before_filter
在控制器中使用(或类似的)来确保他更新的表中的任何给定行只能由管理员或具有 ID 的用户更新列在该行中。如果控制器中有这样的过滤器,那么即使模型的属性是可批量分配的,表格也会受到保护。
我对么?
许多评论员(例如ZDNet)认为 GitHub 案例的弱点在于,Homakov 发现的模型易受攻击,因为它的属性启用了质量分配。
但是,我认为问题不在于这个,而是未能before_filter
在控制器中使用(或类似的)来确保他更新的表中的任何给定行只能由管理员或具有 ID 的用户更新列在该行中。如果控制器中有这样的过滤器,那么即使模型的属性是可批量分配的,表格也会受到保护。
我对么?