2

我刚刚开始使用 Rails 进行编码。我正在使用:Rails 3.2.8 ruby​​ 1.9.3p194

我创建了一个迁移和一个相应的模型,它们都在它们应该存在的文件中(为了简洁起见,我将它们一起呈现):

class CreateMovies < ActiveRecord::Migration
  def up
    create_table 'movies' do |t|
    t.string 'title'
    t.timestamps
  end
end

def down
  drop_table 'movies'
end
end


class Movie < ActiveRecord::Base
end

因此,我想进入“rails 控制台”并使用数据库作为学习过程。

这是我输入的内容和收到的错误消息:

1.9.3p194 :021 > k = Movie.new(:title => 'coco')
 ActiveModel::MassAssignmentSecurity::Error: Can't mass-assign protected attributes: title

我不得不说,如果我附加 :without_protection => true,上述语句可以正常工作。

我查阅了关于批量分配的信息,我明白这是我们应该非常小心的事情。但是,似乎默认情况下rails激活了质量分配保护。就我而言,我想使用哈希创建条目,这对于调试和学习非常有用!

有没有办法取消这种保护?我想默认有公共属性!我怎样才能做到这一点?

奇怪的是,在我的网络研究中,我得出的结论是默认情况下不存在此功能,即默认情况下 ActiveModel 不会创建受保护的属性。(http://stackoverflow.com/questions/3764899/is-there-a-way-to-make-rails-activerecord-attributes-private)但就我而言,所有属性都是私有的!

在我的代码中,将来,我应该尝试单独分配所有属性吗?这将是乏味的。有没有更好的方法既能保证安全又能避免这个繁琐的过程?

提前从我的内心深处感谢您!

4

3 回答 3

15

不!请不要取消激活此保护。这对于阻止人们设置他们不应该设置的属性非常有帮助。关闭它是一个非常糟糕的主意,我会非常非常强烈地建议不要这样做。

你应该在你的模型中这样做:

class Movie < ActiveRecord::Base
  attr_accessible :title
end

这将使的对象的title属性可分配,如果没有标志或设置设置为Movie,则无法分配其他任何内容。without_protectionconfig.active_record.whitelist_attributesfalse

如果您不注意这个警告,那么 Murifox 的答案就是您想要的答案。

想象一下这样一种情况,您有一个用户可以更新其密码的表单。够无辜的。现在假设您关闭了属性保护并且您的users表上有一个admin字段。

实际上,有人非常容易将页面的 HTML 保存到他们的计算机,添加一个字段admin,然后将其设置为“on”或其他任何内容,然后blammo,他们是您网站的管理员。

您网站的新管理员可以快速有效地对您的应用程序发动政变,使他们声称的“异议数据”消失。在未来的几年里,这个残暴的独裁者以某种方式积累了足够的核材料来制造核武器。他与一个鲜为人知的国家(比方说苏里南)相处得不好,并与他的军队发动了进攻。军队是怎么来的,全凭你的想象。

数十万苏里南人(我不得不查一下)要么被杀,要么流离失所到邻国,主要是法属几内亚和圭亚那。有些人试图前往巴西,即使不是南美洲最伟大的国家之一,也只是被远足的距离或丛林中的生物杀死。

苏里南军队,剩下的就是对抗独裁者和他的军队。使用核武器打破了僵局,独裁者将苏里南及其民众的生命列入了他所破坏的清单。清单很短:他唯一毁掉的另一件事就是你的申请。

你想在你的意识上这样做吗?! 为什么没有人想到苏里南的属性?!

请,我请求,使用attr_accessible. 学会爱它,否则后果会很可怕。

于 2012-08-31T19:57:37.600 回答
1 
class Movie < ActiveRecord::Base
   attr_accessible :title, :as => :user
   attr_accessible :title, :disabled, :as => :admin
end

现在,当您创建新电影时,请执行以下操作:

k = Movie.create({:title => "A new movie"}, {:as => :user})
k.update_attributes({:disabled => true}, {:as => :admin})

大括号是可选的,但用于解释目的。现在这意味着您可以保护不同角色的属性。您可以拥有一个可以修改标题但不能禁用电影的用户角色。

现在您可以使用此代码并亲自查看标题和禁用的访问者不受管理员保护,但用户角色只能访问标题。

这确保您没有未经授权访问子属性和其他持久的关键属性,例如提到的 Ryan Bigg。

于 2012-08-31T20:07:19.023 回答
0

您可以将此行添加到您的应用程序

config.active_record.whitelist_attributes = true

重新启动服务器/控制台

在这里查看官方文档

http://guides.rubyonrails.org/security.html#highlighter_14621

但我建议从一开始就使用它,不要停用它。它就像一把神奇的钥匙,只打开你希望别人允许的门。

根据我的个人经验,我们在第一步中学到的东西是我们主要遵循的并且很难改变。只是 JMHO :)

只需将字段添加到模型屁股attr_accessible

class ModelName < ActiveRecord::Base
  attr_accessible :column_1,:column_2,:column_3
end

并且它们将可用于批量分配。永远不要列user_activeadmin包含非常敏感的信息attr_accessible

您始终可以单独分配该值

例如:让我们假设一个模型User的列说明用户active与否,并且 admin列没有质量分配

user = User.new(:active=>true)
user.save   #wont update the active column should throw mass assign assignment error

user = User.new
user.admin = true
user.save  #should save successfully

这需要更多的努力,但你可以睡个好觉:)

于 2012-08-31T20:01:58.183 回答