我是 Rails 新手,我烘焙了这个小登录控制器。
def create
username = params[:user].downcase
user = User.where("username = ? OR email = ?", username, username)[0]
if user and user.check_password(params[:password], user.password, user.salt)
cookies[:auth] = user.auth
redirect_to root_url
else
flash.now.notice = 'Login failed'
render 'new'
end
end
我想知道这是否安全,还是我需要在用户名之上添加一些清理?