0

我的 Rails 3 应用程序包含一个未绑定到模型的表单。

我正在使用form_tag,我的控制器看起来有点像这样:

def results
    local_variable = params[:my_form_field].to_s
end

我在控制器中使用 . 执行各种其他零碎工作local_variable,因此显然我想针对讨厌的用户可能输入的“非法”输入(尤其是 HTML 标签,甚至是注入)清理我的表单。

我真的需要在控制器中而不是在我看来这样做。有没有类似于to_s我可以在控制器中使用的东西来删除这些字符?

谢谢!

4

1 回答 1

0

您可以使用 Rails 的 Sanitize Helper:http ://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html

只要您不eval读取数据库的内容local_variable或在数据库上执行它,您就应该是安全的。

于 2012-10-07T02:17:12.797 回答