问题标签 [attr-accessible]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby - 我应该如何使用 Datamapper 保护 Sinatra 应用程序中的批量分配?
我Link在 Sinatra 应用中有模型
如何设置类似的东西attr_accessible :url, :token?
ruby-on-rails - attr_accessible 需要问题和说明
关于 attr_accessible 的安全威胁的文章太多了,我开始怀疑我是否应该在其中包含任何属性。这是问题所在。我有一个Message模型,它具有以下内容:
我update的. edit_ messages_controller通过newandcreate操作,我可以创建一条新消息并将其发送给收件人。只有已登录并满足一定条件的用户才能互相发送消息。我在 a 的帮助下做到了这一点,before_filter并且条件很好。消息已存储并可通过sender和查看recipient。完美的!
我的问题是,既然:body,:sender_id,:recipient_id包含在 中attr_accessible,恶意用户可以以某种方式更改:body,:sender_id,:recipient_id原始消息的吗?我是否应该也将这些属性添加到其中attr_readonly,以便保存后无法修改它们?
这个问题一直困扰着我几乎所有的模型。
ruby-on-rails-3 - 使用方法调用在 attr_accessor 中指定属性列表
我想创建大量属性,如果使用这样的方法调用构建这些属性,可以轻松完成,
这是行不通的。有没有其他方法可以实现这一目标?
任何帮助将不胜感激。
ruby-on-rails-3 - 使用与 attr_accessible 相关的 ActiveAdmin 提交按钮
我目前正在改变我的 ActiveAdmin 界面的工作方式,以便它集成attr_accessible项目和 CanCan。在我的一些模型中,我对表单上的提交按钮有一个特定的控制器操作,例如
在这种Update Password方法中,我可以知道当前管理员用户在update_attributes(*,as: @admin_user.role.name.to_sym)哪里。@admin_user这仅允许具有允许角色的管理员用户更新其密码。
我遇到的问题是 ActiveAdmin 进行通用更新时,特别是
如何将选项传递给 ActiveAdmin,以便在更新时使用指定的角色?我知道按钮使用 Formtasti,并且该:label方法是其中的一部分,但我似乎找不到任何关于使用传递其他选项的信息。
我的一个选择是在我的每个模型中为编辑方法编写一个覆盖,但这有点违背了 ActiveAdmin 的目的,不是吗?
现在,我的 CanCan 能力已经设置为只有某些角色可以访问某些项目。这会覆盖attr_accessible项目吗?我知道如果该项目不是 attr_accessible,即使它在 CanCan 中是可管理的,也不会通过批量分配而改变。
我真正需要知道的是,如果我是黑客,我是否可以注入一个update_attributes(params[:whatever], as: :admin)并且它会因为 CanCan 的能力而阻止它?attr_accessible同时通过CanCan 的能力等级保护该项目是否值得?
ruby-on-rails - 设计不适用于 Rails 4.0rc1
有没有办法让设计与 Rails 4.0rc1 一起工作?尝试启动 rails 服务器甚至生成设计视图时出现以下错误:
ruby-on-rails-3 - 在模型 Rails 3.2.2 中没有设置 attr_accessible 的质量分配
我正在我的 Rails 3.2.2 应用程序中创建用户之间关系的 twitter 样式。我有User和Relationship模型。
我决定把设计和omniauth的东西留在那儿,以防它碰巧是问题的一部分,尽管我对此表示怀疑。
在命令行中,我与两个用户一起工作,u1并且u2.
我运行命令
并收到此错误
这是我第一次build在关联上使用该方法,但如果我能让它工作似乎很方便。如果您需要更多信息,请询问。谢谢你的帮助!
ruby-on-rails - Rails 4 下的 Devise 3 中的自定义用户字段
我正在使用 Devise 3 的候选版本,以便可以将它与 Rails 4 一起使用。在 Rails 3.2 中,我曾经能够通过简单地将自定义字段添加到我的User模型中来添加该字段到 registration/edit.html.erb和registration/new.html.erb 文件(运行正确的迁移后)。然后我只需将该字段添加到attr_accessible模型中的字段列表中。
但是,在 Rails 4 中,没有attr_accessible列表,我不能简单地在视图中添加字段。如何添加自定义用户字段?
ruby-on-rails - 获取嵌套属性的“无法批量分配受保护的属性:”
我在 Rails3 上,我有两个模型,用户和帖子。用户将帖子作为嵌套属性。当我尝试保存用户时,我得到无法批量分配受保护的属性:.....
ruby-on-rails - 在用户模型中建立配置文件进行注册,attr_accessible 中的 user_id 是大错误吗?
使用设计作为我的身份验证系统,我想在用户注册时建立我的个人资料。
我在 SO 上阅读了很多关于此的主题,并决定采用在模型中构建配置文件的方法:
配置文件.rb
用户.rb
我的两个问题是:
attr_accessible 中的 user_id 是否危险(批量分配)?
我是否必须使用事务将我的个人资料创建放入控制器(注册创建)?(在这里,如果我的个人资料无法建立,我仍然有用户记录)
ruby-on-rails-4 - Rails 4,strong_parameters,动态 attr_accessible:如何将父数据库信息获取到类实例中
我正在尝试attr_accessible根据其父帐户添加到用户模型。我知道用户类实例还没有访问其父级的权限,但我不知道该怎么做。任何建议都会很棒。
这就是我strong_params开始工作的方式,并且希望在用户模型中做类似的事情(或者做一些更好的事情)。
这就是现在的工作:
这就是我想要的工作: