我对我认为安全的解决方案有疑问,但希望获得第二意见:
在我们的应用程序中,我们有一个用户模型,它有一个“角色”属性。通常,我不会将此属性批量分配,因为用户可以更新自己的信息并可以操纵帖子哈希以包含“角色”。
然而,在这种特殊情况下,我们正在使用一个需要大量修补(我们宁愿避免)的 Rails 引擎,除非我们将属性保持为可批量分配的。
现在,我们的解决方案如下:在控制器的 user#update 操作中,我们只需在更新之前从 params 哈希中删除角色属性:
params[:user].delete(:roles)
虽然我知道这不是一个理想的解决方案,但它安全吗?
感谢您的专业知识,
欧文