128

我有一个Bill对象,它有很多Due对象。该Due对象也属于一个Person。我想要一个可以在一个页面中创建Bill及其子项的表单。Dues我正在尝试使用嵌套属性创建一个表单,类似于这个 Railscast中的那些。

相关代码如下:

到期.rb

class Due < ActiveRecord::Base
    belongs_to :person
    belongs_to :bill
end

账单.rb

class Bill < ActiveRecord::Base
    has_many :dues, :dependent => :destroy 
    accepts_nested_attributes_for :dues, :allow_destroy => true
end

bills_controller.rb

  # GET /bills/new
  def new
      @bill = Bill.new
      3.times { @bill.dues.build }
  end

账单/_form.html.erb

  <%= form_for(@bill) do |f| %>
    <div class="field">
        <%= f.label :company %><br />
        <%= f.text_field :company %>
    </div>
    <div class="field">
        <%= f.label :month %><br />
        <%= f.text_field :month %>
    </div>
    <div class="field">
        <%= f.label :year %><br />
        <%= f.number_field :year %>
    </div>
    <div class="actions">
        <%= f.submit %>
    </div>
    <%= f.fields_for :dues do |builder| %>
        <%= render 'due_fields', :f => builder %>
    <% end %>
  <% end %>

账单/_due_fields.html.erb

<div>
    <%= f.label :amount, "Amount" %>        
    <%= f.text_field :amount %>
    <br>
    <%= f.label :person_id, "Renter" %>
    <%= f.text_field :person_id %>
</div>

更新 bills_controller.rb 这行得通!

def bill_params 
  params
  .require(:bill)
  .permit(:company, :month, :year, dues_attributes: [:amount, :person_id]) 
end

正确的字段在页面上呈现(尽管还没有下拉菜单Person)并且提交成功。但是,没有一个孩子的会费被保存到数据库中,并且在服务器日志中抛出了一个错误:

Unpermitted parameters: dues_attributes

就在错误之前,日志显示如下:

Started POST "/bills" for 127.0.0.1 at 2013-04-10 00:16:37 -0700
Processing by BillsController#create as HTML<br>
Parameters: {"utf8"=>"✓", 
"authenticity_token"=>"ipxBOLOjx68fwvfmsMG3FecV/q/hPqUHsluBCPN2BeU=",
 "bill"=>{"company"=>"Comcast", "month"=>"April ", 
"year"=>"2013", "dues_attributes"=>{
"0"=>{"amount"=>"30", "person_id"=>"1"}, 
"1"=>{"amount"=>"30", "person_id"=>"2"},
 "2"=>{"amount"=>"30", "person_id"=>"3"}}}, "commit"=>"Create Bill"}

Rails 4 有什么变化吗?

4

6 回答 6

191

似乎属性保护的处理发生了变化,现在您必须将控制器中的参数列入白名单(而不是模型中的 attr_accessible),因为以前的可选 gem strong_parameters 已成为 Rails 核心的一部分。

这应该看起来像这样:

class PeopleController < ActionController::Base
  def create
    Person.create(person_params)
  end

private
  def person_params
    params.require(:person).permit(:name, :age)
  end
end

所以params.require(:model).permit(:fields)会被使用

对于嵌套属性,例如

params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])

可以在Ruby edge API 文档github 上的 strong_parameters此处找到更多详细信息

于 2013-04-10T08:20:27.747 回答
23

从文档

To whitelist an entire hash of parameters, the permit! method can be used

params.require(:log_entry).permit!

嵌套属性采用哈希的形式。在我的应用程序中,我有一个 Question.rb 模型接受 Answer.rb 模型的嵌套属性(用户为他创建的问题创建答案选择)。在 questions_controller 中,我这样做

  def question_params

      params.require(:question).permit!

  end

问题哈希中的所有内容都是允许的,包括嵌套的答案属性。如果嵌套属性采用数组的形式,这也适用。

话虽如此,我想知道这种方法是否存在安全问题,因为它基本上允许散列内的任何内容而没有具体说明它是什么,这似乎与强参数的目的背道而驰。

于 2013-06-24T02:43:58.573 回答
20

或者你可以简单地使用

def question_params

  params.require(:question).permit(team_ids: [])

end
于 2014-08-14T10:54:41.307 回答
13

实际上有一种方法可以将所有嵌套参数列入白名单。

params.require(:widget).permit(:name, :description).tap do |whitelisted|
  whitelisted[:position] = params[:widget][:position]
  whitelisted[:properties] = params[:widget][:properties]
end

与其他解决方案相比,此方法具有优势。它允许允许深度嵌套的参数。

而其他解决方案如:

params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])

不。


来源:

https://github.com/rails/rails/issues/9454#issuecomment-14167664

于 2014-09-25T20:56:30.630 回答
3

今天我遇到了同样的问题,在使用 rails 4 时,我可以通过将 fields_for 构造为:

<%= f.select :tag_ids, Tag.all.collect {|t| [t.name, t.id]}, {}, :multiple => true %>

然后在我的控制器中,我有我的强大参数:

private
def post_params
    params.require(:post).permit(:id, :title, :content, :publish, tag_ids: [])
end

所有作品!

于 2015-09-19T16:21:32.133 回答
1

如果使用 JSONB 字段,则必须使用 .to_json (ROR) 将其转换为 JSON

于 2017-03-16T16:34:27.287 回答