0

我在 Rails 中创建了一个表单构建器,允许用户构建自己的表单。许多表单输入将直接的字符串返回给 Rails(例如文本字段)。有些提供值数组(如日期选择器)。现在我将这些值存储在序列化列中。它运行良好,并让我在发生错误时以最小的努力重新显示自定义表单。问题是有人输入:

--------

进入文本字段,ActiveRecord 引发错误说:You tried to assign already serialized content to value. This is disabled due to security issues.

我知道字符串看起来像 YAML,但我想知道是否有更优雅的方法来解决这个问题,因为用户只是输入了一堆破折号来表示他没有电话号码。我希望它基本上可以优雅地失败,如果有这样的事情,可能会删除该值或将其存储为序列化字符串。

4

1 回答 1

0

在 Rails 3.0.20 LTS 中,他们对代码进行了修补,以检查发送到序列化列的 YAML 字符串。我已经覆盖了模型上的赋值方法来修复字符串而不是引发错误:

module ActiveRecord
  module AttributeMethods
    module Write
      extend ActiveSupport::Concern

      included do
        attribute_method_suffix "="
      end

      module ClassMethods
        protected
          def define_method_attribute=(attr_name)
            if self.serialized_attributes[attr_name]
              generated_attribute_methods.send(:define_method, "#{attr_name}=") do |new_value|
                if new_value.is_a?(String) and new_value =~ /^---/
                  raise ActiveRecordError, "You tried to assign already serialized content to #{attr_name}. This is disabled due to security issues."
                end
                write_attribute(attr_name, new_value)
              end
            elsif attr_name =~ /^[a-zA-Z_]\w*[!?=]?$/
              generated_attribute_methods.module_eval("def #{attr_name}=(new_value); write_attribute('#{attr_name}', new_value); end", __FILE__, __LINE__)
            else
              generated_attribute_methods.send(:define_method, "#{attr_name}=") do |new_value|
                write_attribute(attr_name, new_value)
              end
            end
          end
      end

      ...

我想在这里使用 super(new_value) 来允许原始方法进行分配,但不幸的是它似乎绕过了检查(因此也绕过了安全措施)。

  def value=(new_value)
    if new_value.is_a?(String) and new_value =~ /^---/
      new_value.gsub!(/^-+/, '-')
    end
    write_attribute(:value, new_value)
  end
于 2014-09-10T19:24:54.810 回答