易在开发中忽略的rails安全问题

最新推荐文章于 2025-08-14 09:00:00 发布

iteye_321

最新推荐文章于 2025-08-14 09:00:00 发布

阅读量127

点赞数

分类专栏： ruby & rails 文章标签： Rails Ruby SQL HTML

ruby & rails 专栏收录该内容

20 篇文章

订阅专栏

本文探讨了Rails框架中常见的安全问题——mass-assignment漏洞，并提供了解决方案。通过介绍如何使用attr_protected来保护特定属性免受非法赋值，确保应用程序的安全性。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

有些安全问题在rails的开发中会被忽略的，比如rails在创建或者更新一个model的时候，支持一种mass-assignment的赋值方式，比如在controller中，创建一个user model记录

代码1：


@user=User.new(params[:user])
@user.save!

这个场景通常发生在网站注册新用户，假如user有属性用户积分point，注册表单如是写：


<form ..>
<input name='login_name'/>
<input type='password' name='password'/>
<input type ='password' name='c_password'/>
 ...
</form>

如果有恶意用户更改了一下表单提交参数，增加point=10000，那么上述代码1就会存在安全漏洞，因为新注册用户可以获得任意积分！

要消除这个漏洞，做法是将point属性设置为protected


attr_protected :point

注意这里protected不是指外界不能读和写point属性，而是指使mass-assignment对point属性失效，这样代码1就是安全的了。

在更新属性时，必须显式赋值


@user.point=params[:user][:point]
...

其他诸如sql注入等安全问题，可见

[url]http://manuals.rubyonrails.com/read/chapter/47[/url]

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iteye_321

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

35、Rails 中的数据交互、过滤验证与缓存策略

grafana6viz的博客

07-14

本文深入探讨了 Rails 中的数据交互、过滤验证和缓存策略。内容涵盖会话过期处理、Flash 的使用、过滤器和验证机制、页面和动作缓存的实现与优化，以及缓存的过期管理和多级缓存策略。通过实际案例和总结建议，帮助开发者提升应用性能和用户体验。

python核心编程之开门见山，带你了解Python后的大背景

LYX_WIN

12-02

1264

Python 是一门优雅而健壮的编程语言，它继承了传统编译语言的强大性和通用性，同时也借鉴了简单脚本和解释语言的易用性。它可以帮你完成工作，而且一段时间以后，你还能看明白自己写的这段代码。你会对自己如此快地学会它和它强大的功能感到十分的惊讶，更不用提你已经完成的工作了!只有你想不到，没有 Python 做不到。

参与评论您还未登录，请先登录后发表或查看评论

Ruby on rails 实战圣经：ActiveRecord

热门推荐

Felomeng的技术博客

11-29

1万+

All problems in computerscience can be solved by another level of indirection(abstraction) - DavidWheeler ...except for the problem of too many layers of indirection. - KevlinHenney’s corollaryActiveR

【应用安全编码规范】---模板

莫慌的博客

11-01

1642

应用安全编码规范

PHP 安全最佳实践

allway2的博客

08-01

670

虽然许多公司运行不同的赏金计划，以找出其应用程序中的安全漏洞和漏洞，从而奖励那些指出应用程序中严重漏洞的安全专家。本文涵盖基本的PHP安全问题，以帮助您了解如何保护您的PHP项目免受不同的恶意攻击。在CSRF攻击中，最终用户可以在经过身份验证的网站上执行不需要的操作，并且可以将恶意命令传输到站点以执行任何不需要的操作。一旦字符串被加密，它就会重复解码。很长一段时间以来，我一直致力于解决PHP安全和性能问题，在PHP社区中非常活跃，向顶级开发人员询问他们在实际项目中使用的技巧和窍门。...

有关主流编程语言的几个问题及对比

奇树谦的博客

06-29

1404

对象管理：大多数现代OOP语言都使用自动内存管理，通过垃圾收集器回收内存。接口管理：不同语言对接口的支持不同，一些语言（如Java和C#）原生支持接口，而其他语言（如Python和Ruby）使用其他机制（如模块和抽象基类）来实现类似功能。运行时类型信息：静态类型语言（如Java和C#）和动态类型语言（如Python和JavaScript）在运行时类型信息的处理上有所不同，但都提供了在运行时检查类型的方法。开发者在选择编程语言时，应根据项目需求、团队熟悉度以及预期的应用场景来考虑这些特性。

《AI安全实战·上篇》Prompt注入、深度伪造、模型泄密全景解析！

努力分享一些人工智能、计算机视觉、影像等相关的知识干货！

03-28

1717

Prompt 注入、影子学习、隐私泄露、自动攻击……当生成式AI成为企业标配，它也暴露出前所未有的攻击面。本文从实战出发，系统总结四大核心问题与防御机制，帮助你构建安全基础防线。

测试驱动开发（TDD）：质疑与思辩

欢迎访问花落的速度的博客

11-19

1210

参考链接：http://joe-dev.blogspot.com/2014/06/tdd-is-dead.html 前段时间刷了一下uncle bob的博客，有篇文章标题叫TDD-Harms-Architecture，打开一看是对另外几个大佬观点的反驳，于是了解了一下，发现这底下居然有场大佬云集的论战。虽然全英文但是核心观点不难理解，于是顺着热心网友提供的整理资料耐心去看了一下。 1.概念汇总 1.1TDD 测试驱动开发。Martin Fowler博客中有博主对其定义。简单地讲TDD是一种实践：

Kaamel白皮书：Agent-to-Agent（A2A）隐私安全最佳实践

kaamelai的博客

04-25

979

随着AI智能体架构从单体模型演化为多Agent协同系统，A2A协议为智能生态提供了强大的互操作能力。然而，能力越大，责任亦重。若无完备的隐私保护和安全防护体系，A2A将沦为数据泄露、滥权执行的温床。Kaamel作为专注于泛安全方向的Agent基础设施构建者，呼吁业界将“隐私工程”与“安全编排”作为A2A系统设计的核心前提，共建可信Agent生态，守护智能协同时代的数据主权与系统安全。未来，Kaamel计划发布一套“可信Agent协同蓝图”，涵盖：A2A协议适配Agent SDK工具集；

为什么编程语言千变万化？理解其分类与核心要素

Lion_Long的博客

08-14

1121

摘要：编程语言种类繁多，主要分为低级语言（如机器语言、汇编语言）和高级语言（如Java、Python）。高级语言通过编译或解释方式转换为机器可执行代码，前者生成独立目标程序，后者逐行翻译执行。语言的核心要素包括语法（结构规则）、语义（含义）和语用（实际应用）。代表性语言如Fortran（科学计算）、C（系统编程）、Java（跨平台）、Python（多领域开发）等，各具特色，适应不同需求。语言的发展始终围绕提高抽象层次、优化开发效率及适应技术变革展开。

Rails快速启动样板：为Web开发人员提供标准化网站解决方案

这些信息不应该硬编码在代码中，而应该通过环境变量来管理，以增强安全性，并方便在不同环境（开发、测试、生产）之间切换。 - 建立数据库：在Rails项目中，数据库的创建和迁移是通过一系列命令来完成的，如`rake ...

Rails登录与验证插件：http_authentication与restful-authentication深入解析

在Rails应用的开发过程中，用户身份验证和授权是常见需求，而Rails社区提供了多种插件（现称Gem）以支持这一需求。其中，`http_authentication` 和 `restful-authentication` 是两个较为古老的插件，用于在Rails应用...

程序员转型独立开发者实现财富自由终极指南（2025版）

AI天才研究院

04-08

2821

财务自由公式被动收入 ≥ 生活开支 × 1.5（安全边际）例：月支出2万 → 需3万/月被动收入（通过SaaS/投资组合实现）阶段划分初级阶段：月入1-3万（副业+小产品）进阶阶段：月入5万+（规模化产品）自由阶段：月入10万+（被动收入为主）在数字化浪潮席卷全球的今天，独立开发者（Indie Hacker）这一职业路径正吸引着越来越多程序员的关注。与传统职场发展路径不同，独立开发意味着你既是技术的创造者，也是产品的所有者，能够直接面向市场创造价值并获得收益。

中孚密保卫士是由中孚信息股份有限公司开发的一款信息安全产品，主要用于终端计算机的保密管理和数据防泄漏它主要面向政府机关、军工单位、科研院所等对信息安全有较高要求的涉密单位，帮助其实现对涉密信息的全

08-14

终端保密管理：对计算机终端的操作行为进行监控和审计，防止违规外联、非法拷贝、打印、截屏等行为。数据防泄漏（DLP）：通过内容识别、加密、权限控制等手段，防止敏感或涉密数据通过U盘、网络、邮件等途径泄露。文件加密与权限控制：对涉密文件进行透明加密，确保文件在授权范围内使用，防止未授权人员查看或传播。行为审计与日志记录：详细记录用户的操作行为（如文件访问、外发、打印等），便于事后追溯和审计。违规外联监控：防止涉密计算机违规连接互联网或其他非授权网络，保障网络边界安全。移动存储介质管理：对U盘、移动硬盘等设备进行授权管理，区分普通盘和专用盘，防止非法数据拷贝。

Python批量发送短信验证码的实现方法.doc

08-14

Python批量发送短信验证码的实现方法.doc

信号处理领域中经验模态分解(EMD)对复杂信号进行IMF分量提取与应用

最新发布

08-14

内容概要：本文介绍了经验模态分解（EMD）这一强大的信号处理技术，详细解释了EMD如何将复杂信号分解为多个内在模态函数（IMF）分量，从而揭示信号的局部特征。文中不仅提供了理论背景介绍，还给出了具体的Python代码实例，展示了EMD在去除心电图基线漂移和分析多层信号方面的实际应用场景。同时指出了EMD存在的局限性和优化方法，如边界效应和模态混叠问题及其解决方案。适合人群：从事信号处理相关工作的研究人员和技术人员，尤其是对非平稳信号处理感兴趣的从业者。使用场景及目标：适用于需要从复杂信号中提取有用信息的各种场合，如金融数据分析、生物医学工程等领域。目标是帮助读者掌握EMD的基本原理和具体应用，提高处理非平稳信号的能力。阅读建议：建议读者结合提供的代码片段动手实践，深入理解EMD的工作机制以及如何针对不同类型的数据选择合适的参数设置。

神经网络基础知识的入门教学指南

08-14

资源下载链接为： https://pan.quark.cn/s/4a0cf578c0a4 神经网络基础知识的入门教学指南（最新、最全版本！打开链接下载即可用！）

C++ 编程语言实现的神经网络库

08-14

资源下载链接为： https://pan.quark.cn/s/5ded706c7f1c C++ 编程语言实现的神经网络库（最新、最全版本！打开链接下载即可用！）

双闭环永磁同步电机调速系统SVPWM控制的仿真研究与参数优化 · SVPWM

08-14

内容概要：本文详细探讨了双闭环永磁同步电机调速系统的SVPWM控制方法及其仿真实现。首先介绍了主电路配置和控制系统的架构，包括电流内环和转速外环的设计，以及PI调节器的具体实现方式。文中展示了关键代码片段，如电流环内的PI调节器和SVPWM的扇区判断算法，并深入讨论了参数设定对系统性能的影响。针对实际仿真中遇到的问题，如转矩脉动和波形畸变，提出了有效的解决方案，如调整作用时间和提高采样频率。最终通过对波形数据的细致分析验证了改进措施的有效性。适合人群：从事电机控制、电力电子领域的研究人员和技术人员，尤其是对SVPWM控制和双闭环系统感兴趣的读者。使用场景及目标：适用于需要深入了解和掌握双闭环永磁同步电机调速系统SVPWM控制原理及其实现的技术人员。目标是在理论基础上进行实际操作，优化系统参数，提升调速精度和平稳度。其他说明：本文不仅提供了详细的理论解释，还有具体的代码实例和实验数据支持，有助于读者更好地理解和应用相关技术。

Rails敏捷开发教程：快速入门与Ruby语言解析

在《敏捷Rails中文教程》中，作者首先强调了Rails框架在Web开发领域的影响力，它以其高效、稳定的特性吸引了众多开发者。Rails的开发效率高，易于理解和使用，与Java EE平台相比，Rails通过约定优于配置的原则，降低...