在我的 Rails 应用程序people
中可以有很多projects
,反之亦然。
class Person < ActiveRecord::Base
has_and_belongs_to_many :projects
attr_accessible :name, :person_ids
end
class Project < ActiveRecord::Base
has_and_belongs_to_many :people
attr_accessible :name, :person_ids
end
在我看来ProjectsController
,我需要一种方法来确保没有用户可以创建project
属于另一个用户的people
. 现在,我的选择框很容易被黑客入侵,例如通过浏览器控制台。
在我看来,处理此问题的最佳方法是before_filter
. 这是我想出的:
class ProjectsController < ApplicationController
before_filter :valid_people, :only => [ :create, :update ]
def create
@project = current_user.projects.build(params[:project])
if @project.save
flash[:success] = "Project created."
redirect_to edit_project_path(@project)
else
render :new
end
end
private
def valid_people # not working yet
if params[:project][:person_ids].present?
person = current_user.people.where(:id => params[:project][:person_ids]).first
redirect_to(root_path) unless person
end
end
end
但是,由于我还是 Rails 的新手,所以我正在为该valid_people
方法的语法苦苦挣扎。如何检查是否person_ids
属于用户?
谢谢你的帮助。