作为一般经验法则,您不应该信任来自用户的任何数据输入。如果您有一个带有参数的简单 link_to:
link_to "Click me", test_path(:my_param => "test")
路线可能如下所示:example.com/test?my_param=test
我如何知道参数或任何注入的数据是否被正确过滤?Rails 3 API 没有指定它过滤传递给控制器的数据,但我想确保在使用 params 数据之前在控制器中安全地过滤 params[:my_param]。
有什么想法吗?