Rails宝典之第二十六式: 防止Hacker入侵

最新推荐文章于 2012-01-09 23:04:13 发布
最新推荐文章于 2012-01-09 23:04:13 发布 · 81 阅读 · 0
文章标签:

#Rails #ActiveRecord #Flash

本文介绍了一种在Rails应用中防止用户通过HTTP请求非法修改受保护属性的方法,如管理员权限等敏感信息。通过使用attr_protected和attr_accessible,开发者可以有效地控制哪些属性能够通过HTTP请求进行更改。
假设我们的users表如下:
[code]
create_table "users", :force => true do |t|
t.column "name", :string
t.column "admin", :boolean, :default => false, :null => false
end
[/code]
看看我们都创建用户的action:
[code]
def create
@user = User.new(params[:user])
if @user.save
flash[:notice] = "Successfully registered"
redirect_to user_path(@user)
else
render :action => 'new'
end
end
end
[/code]
我们本来不希望新用户注册时设置"admin"为1,而且我们的注册页面只允许用户输入"name"
但是由于我们使用@user = User.new(params[:user])来给@user赋值,Hacker可以这样做来注册一个管理员用户:
[code]
curl -d "user[name]=hacker&user[admin]=1" localhost:3000/users
[/code]
这样Hacker就创建了一个admin用户

解决方法:
我们可以使用attr_protected :xxx来限制xxx属性不被赋值
[code]
class User < ActiveRecord::Bse
has_many :comments
attr_protected :admin
end
[/code]
attr_protected :admin限制了我们的admin属性不被赋值

但是User的comments仍然可以通过post comment_ids数据来hack,我们可以使用attr_accesible :xxx来限制哪些属性可以赋值
[code]
class User < ActiveRecord::Base
has_many :comments
attr_accesible :name
end
[/code]
我们限制只有name可以赋值,其他都不能赋值

其实很简单,我们在创建User的create方法里不使用mass assignment即可:
[code]
def create
@user = User.new(:name => params[:user][:name])
end
[/code]
ember-hacker-news-backend:Ember Hacker News Clone的后端,在4.2上使用Rails-API
05-17
自述文件 Ember Hacker News Clone的后端,在Ruby 4.2上使用 。 可以从获取Ember Hacker News克隆代码。 数据库创建 rake db:migrate rake db:fixtures:load RAILS_ENV=development
rails_rest_vote:RESTful投票宝典,用于Rails应用
04-29
如果您在Web应用程序中以及移动应用程序中使用了诸如angular2之类的任何前端客户端,那将非常有帮助。 先决条件 启用CORS 如果要构建公共API,则可能要启用跨域资源共享(CORS),以使跨域AJAX请求成为可能。 ...
互联网网站的反爬虫策略浅析
robbin的专栏
08-17 822
因为搜索引擎的流行,网络爬虫已经成了很普及网络技术,除了专门做搜索的Google,Yahoo,微软,百度以外,几乎每个大型门户网站都有自己的搜索引擎,大大小小叫得出来名字得就几十种,还有各种不知名的几千几万种,对于一个内容型驱动的网站来说,受到网络爬虫的光顾是不可避免的。 一些智能的搜索引擎爬虫的爬取频率比较合理,对网站资源消耗比较少,但是很多糟糕的网络爬虫,对网页爬取能力很差,经常并发几十...
Rails宝典之第二: 动态find_by方法
blacksource的专栏
12-25 3936
Rails宝典之第二: 动态find_by方法  忘了声明了,这个系列主要是Rails入门教学。  今天Rails宝典教大家的是动态find_by方法,我们先看一段代码:  Ruby代码   class TasksController       def incomplete       @tasks = Task.find(:all, :con
Rails宝典之第三: 通过关联做查询
blacksource的专栏
12-25 939
Rails宝典之第三: 通过关联做查询  我们来看一个has_many关联的例子:  Java代码   class Project    has_many :tasks   end      class Task    belongs_to :project   end      class ProjectsController    def
Rails宝典之第五: 使用with_scope
blacksource的专栏
12-25 1508
这次来介绍with_scope方法的使用。  继续前面的例子,我们希望只取得complete为false的前20条数据,我们可以给find_incomplete方法添加一个Hash参数,然后使用with_scope将  额外的参数附加到我们的查询方法里:  Java代码   class Task    belongs_to :project
Rails宝典之第一: 实例变量做查询缓存
blacksource的专栏
12-25 1873
前段时间对Rails的跟进有点懈怠,因为公司让我做Spring的内部培训,便抽空回归Java,看了下字符集,字节码,Annotation,  JavaConfig,JavaScript,Perl,花生壳等等乱七八糟的东西,差点把心收不回来准备去搞C#.net了。  每天一剂Rails良药要开工了,顺便把《The Ruby Way》eMule下来了,再写个“每天一条Ruby小道”怎么样?
Rails宝典之第九: 在日志里过滤敏感数据
blacksource的专栏
12-25 1890
这是个安全问题,当我们在系统注册页面输入密码等敏感数据时,我们可以看到,密码以明文的形显示在日志文件里:  Java代码   Processing UsersController#create (for 127.0.0.1 at 2007-02-23 19:11:20) [POST]     Session ID: 4047778b64af62d387f7e86
Rails宝典之第四: 将查询移位Model
blacksource的专栏
12-25 598
沿着Rails宝典之第三: 通过关联做查询的脚步,我们可以进一步简化代码:  Java代码   class Task    belongs_to :project        def self.find_incomplete       find_all_by_complete(false, : order => 'created_at DESC')
Rails宝典之第八: layout与content_for
blacksource的专栏
12-25 2528
如果我们想根据模板页面更改局部layout,使用content_for即可。  content_for允许模板页面代码放到layout中的任何位置。  比如我们的Rails程序不同的页面有不同的css样,我们可以在layout里留出位置:  Java代码   "-//W3C//DTD XHTML 1.0 Strict//EN"     "http://w
Rails宝典之第二十三: counter cache
blacksource的专栏
01-09 1525
这次就是讲用_count字段来缓存has_many的计数  看Project和Task的例子:  Java代码   Projects         for project in @projects %>                   ('task' %>)              上面的页面代码对所有的@projects显
graphql-rails-generators:Graphql Rails Scaffold:trade_mark:。 从Rails模型自动生成GraphQL类型
02-05
graphql-rails-generators 一些生成器可以轻松将Rails模型与集成。 我之所以创建它,是因为我浪费了太多的按键来手动复制模型架构以创建graphql类型。 该项目包含用于查看ActiveRecord模型架构的生成器,并为您...
todds_blog:Basic Rails博客:man_technologist::railway_track::writing_hand:
02-05
持续移动且不破坏事物 ‍:factory: :building_construction: :construction: :construction_worker: 正在建设中-请稍后再回来!
Ruby on Rails中的XSS防御策略:构建安全的Web应用
08-18
Ruby on Rails作为一个流行的服务器端Web应用框架,提供了一系列的机制来帮助开发者防止XSS攻击。本文将详细介绍如何在Ruby on Rails中采取有效的措施来预防XSS攻击,并提供代码示例。 通过上述措施,Ruby on Rails...
毕业设计基于springboot+android在线音乐个性化推荐APP的设计与实现源码+论文+PPT答辩+演示视频.zip
12-14
随着移动互联网的快速发展,人们对音乐的个性化需求日益增长。在线音乐个性化推荐APP应运而生,旨在为用户提供更加贴合个人喜好的音乐体验。该APP采用Java语言开发,结合Spring Boot框架和MySQL数据库,实现了高效的数据处理和稳定的系统运行。通过分析用户的听歌历史、收藏记录和评论行为,APP利用先进的算法为用户精准推荐歌曲、歌单和歌手。用户可以在APP中浏览推荐内容,搜索感兴趣的音乐,查看歌曲详情,并与其他用户互动,如点赞、评论和分享。APP还提供了歌单创建和管理功能,方便用户整理自己的音乐收藏。通过MySQL数据库的高效存储和管理,APP能够快速响应用户的请求,确保流畅的用户体验。在线音乐个性化推荐APP不仅满足了用户对音乐的个性化需求,还通过社交互动功能增强了用户之间的联系,为用户打造了一个全方位的音乐娱乐平台。 关键词:在线音乐、APP、Spring Boot;
如何准确查找某篇论文的被引用来源?
12-14
源码地址: https://pan.quark.cn/s/4d32ca50bddd Searpy Stage Python 2.7 Python 3.7 Build Status 批量搜索工具,可用于采集和溯源 支持py2和py3 Install Help 1 示例 w762 2 其他功能 利用favicon.icon图标hash来寻找使用相同图标的网站,可用于溯源真实IP和资产发现 截屏2020-09-15 09.44.36 模块调用 支持搜索引擎 [x] Shodan [x] Fofa [x] Zoomeye [ ] Censys [ ] Dnsdb [x] Google [x] Baidu [x] Bing [x] 360so [x] Goo [x] Yahoo [x] Quake [x] Hunter ToDo [ ] 添加子域名搜索 ChangeLog v2.3 fix some bugs add fofa_icon module v2.2 fix some bugs Donations XMR: BTC:
emb_tb_2.csv
最新发布
12-14
【AB测试】支付宝营销策略效果分析
基于全局路径的无人地面车辆的横向避让路径规划研究[蚂蚁算法求解](Matlab代码实现)
12-14
基于全局路径的无人地面车辆的横向避让路径规划研究[蚂蚁算法求解](Matlab代码实现)内容概要:本文围绕基于全局路径的无人地面车辆横向避让路径规划展开研究,提出采用蚂蚁算法(蚁群优化算法)进行路径求解,并通过Matlab代码实现仿真验证。研究聚焦于无人车在复杂环境中根据全局路径信息实现动态避障与横向调整的路径规划问题,利用蚂蚁算法的寻优能力寻找满足安全性、平滑性和行驶效率的最优避让路径。文中详细阐述了问题建模、算法设计、参数设置及仿真结果分析过程,展示了该方法在路径规划中的有效性与鲁棒性。; 适合人群:具备一定自动化、控制工程或计算机相关背景,熟悉Matlab编程,从事智能车辆、路径规划或优化算法研究的研究生、科研人员及工程技术人员。; 使用场景及目标:①解决无人地面车辆在已知全局路径下的局部动态避障问题;②学习并应用蚂蚁算法于实际路径规划任务中;③掌握Matlab环境下路径规划算法的建模与仿真方法; 阅读建议:建议读者结合提供的M
Delphi 13.1控件之chilkat-delphi-dyn.zip
12-14
Delphi 13.1控件之chilkat-delphi-dyn.zip
Rails教学实践:构建Hacker News克隆应用教程
资源摘要信息:"Hacker News Clone是一个用于Rails框架的教学测试项目,可以帮助开发者学习如何在Ruby语言环境下构建类似Hacker News的新闻分享和评论网站。该项目的开发涉及到多个知识点,包括但不限于Ruby语言环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值