另类附值指定参数的方法(不用attr_accessible 或 attr_protected)

最新推荐文章于 2016-09-14 11:32:42 发布
最新推荐文章于 2016-09-14 11:32:42 发布 · 144 阅读 · 0

本文探讨了在Ruby on Rails应用中如何安全地将表单数据赋值给模型,防止非法参数篡改,介绍了几种实现方法包括使用attr_protected、attr_accessible及自定义方法split_off。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

class Users < ApplicationController
    def create
      @user = User.create params[:user]
    end
end

 

这类方法是我们常用的表单到模型的附值了。

 

也是经常出现漏洞的地方。具体有哪些漏洞就不说,网上有很多介绍。

 

通常我们为了解决这个问题都在Model中用attr_protectedattr_accessible 来解决。

 

另外还可以通过精确挑选需要的值来进行操作。

 

class Users < ApplicationController
    def create
        @user = User.new
        @user.login = params[:user][:login]
        @user.password = params[:user][:password]
        @user.password_confirmation = params[:user][:password_confirmation]
        @user.save
        #user is 创建了, 但is_admin 权限没有附值
    end
end

 为了简化代码,我们只用到了下面五行解决

 

class Users < ApplicationController
    def create
      @user = User.create(
        params.split_off(:login, :password, :password_confirmation) )
    end
end

 

这是一DRY应用,split_off 在helper中

 

class Hash
    def split_off(*keys)
      h = {}
      keys.each { |key| h[key] = self[key] }
      h
    end

 

排除的版本 

 

   def split_off!(*keys)
      h = {}
      keys.each { |key| h[key] = delete key }
      h
   end
end

 

允许一个不同的action (和一个block) ,如果他们key中没有value:

 

class Hash
    def split_off(*keys)
      h = {}
      if block_given?
        keys.each do |key|
          val = self[key]
          h[key] = val.nil? ? yield(key) : val
        end
      else
        keys.each { |key| h[key] = self[key] }
      end
      h
    end

    def split_off!(*keys)
      h = {}
      if block_given?
        keys.each do |key|
          val = delete(key)
          h[key] = val.nil? ? yield(key) : val
        end
      else
        keys.each { |key| h[key] = delete(key) }
      end
      h
    end
end

 

param_protected:从Rails应用程序中的controllersaction中过滤掉不需要的参数。 提供类似于ActiveRecord的attr_protectedattr_accessible的param_protected和param_accessible
03-01
您可以将它们视为attr_protectedattr_accessible的控制器类似物。 安装 Rails的2.3.x版本 gem install param_protected -v "~> 1.0.0" Rails的3.0.x中 gem "param_protected" , "~> 2.0.0" 感谢提供了Rails 3...
protected_attributes_continued:Rails 5+的社区protected_attributes续订版
02-05
受保护的属性续 这是Rails 5+的社区的继续版本。... 此gem添加了attr_accessibleattr_protected方法声明属性的白色黑色列表。 安装 将此行添加到您的应用程序的Gemfile : gem 'protected_attributes_continu
Rails3中的attr_accessibleattr_protected和Rails4+的强制参数
ミ安之偌素
09-14 1005
attr_accessibleattr_protected这两个方法最后可用的版本为rails3.2.13,用于在对model进行大量赋时,通过指定白名单(attr_accessible黑名单(attr_protected)的方式,确保安全性。 attr_accessibleh和attr_protected区别的详细说明。在rails4中,对大量赋的控制提升到了controller层,采
Ruby attr_accessible, validates, attr_accessor, cattr_accessor 区别
Men-DD
11-05 5186
attr_accessible 新建的时候Model里面有一个attr_accessible,从英文全称是attibutes accessible,字面意思是属性可访问 比如执行rails g model User name:string email:string,会建立如下的文件并自动添加上attr_accessible class User attr_accessib
RuntimeError: `attr_accessible` is extracted out of Rails into a gem
feigeswjtu的专栏
04-28 873
按照平常的习惯,写了一个model之后,习惯把model对应的表字段显式写到model文件中,发现报了以下的错误: 才想起来,工作时用的rails的版本是3.2的,自己搭建个人项目用的是4.0.2版本,估计不支持这种写法就,看报错的提示就有解决办法,引入protected_attributes这gem包就行了,方法如下: 在项目的Gemfile里面加入: gem "protected_
rails attr_protectedattr_accessible
晗的IT生活
01-06 179
attr_protectedattr_accessible 解析 1:为什么使用这两个方法: 我们提交一个表单,该表单中有一些不可以让用户提交的字段,例如‘激活(active)’字段、‘用户权限(purview)’字段,但是怀有恶意的用户可以模拟表单提交这些属性,可以随意的给自己权限,而我们控制器中的取得属性的代码是Account.new(params[:accou...
rails 数据表单的保护:attr_accessor, attr_accessible and attr_protected
weixin_30405421的博客
05-20 107
attr_accessor是Ruby语言的内置方法,此方法是为变量自动生成get set方法,从而可以省去一堆重复的get set方法attr_accessibleattr_protected是rails框架提供的方法,使用的场景是如下的情况: 收到表单,传统的方式是这样的: user = User.new user.user_name = params["user[us...
attr_accessible
weixin_30662011的博客
11-04 98
新建的时候Model里面有一个attr_accessible,从英文全称是attibutes accessible,字面意思是属性可访问 比如执行rails g model User name:string email:string,会建立如下的文件并自动添加上attr_accessible app/models/user.rb class User < ActiveRecord::B...
attr_accessor vs attr_accessible
Talents come from diligence
09-01 719
attr_accessible is used to identify attributes that are accessible by your controller methods. This is to protect your models from being w
rails 表单数据保护(attr_protectedattr_accessible
ruby 闲谈
03-27 170
attr_protectedattr_accessible 解析 1:为什么使用这两个方法: 我们提交一个表单,该表单中有一些不可以让用户提交的字段,例如‘激活(active)’字段、‘用户权限(purview)’字段,但是怀有恶意的用户可以模拟表单提交这些属性,可以随意的给自己权限,而我们控制器中的取得属性的代码是Account.new(params[:account...
No more attr_accessible in Ruby on Rails 4
ShanDong_Chu
07-31 1580
In a file called list.rb, I had   attr_accessible :title, :user_id, :updated_at, :created_at    When you run the tests using 'edge' Rails (4.0.0 beta), you get an error like this: "`attr_accessible`
param_protected插件:Rails控制器参数过滤新解决方案
该插件为`ActiveController::Base`提供了两个类方法,分别用于参数的保护和访问控制,这些方法与模型层的`attr_protected`和`attr_accessible`有类似的功能。接着,描述中提供了在不同版本的Rails中安装该插件的gem...
Rails 5+支持社区续订版:protected_attributes
虽然`strong_parameters`提供了更加安全和灵活的解决方案,但在一些遗留系统特定情况下,开发者可能仍然需要使用`protected_attributes`功能。 1. 关于Rails 5+与protected_attributes的变迁 在Rails 5及更高版本...
使用小波、EMD、SVD 分析进行手部运动检测.zip
最新发布
08-16
1.版本:matlab2014a/2019b/2024b 2.赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
【嵌入式系统】69字节帧数据解析:GPS坐标与时间戳传输协议分析
08-16
内容概要:本文档为一个名为《фреймы 69 байт.txt》的文本文件,主要记录了一系列十六进制数据帧及其对应的地理坐标和eph。每个数据帧以“0x”开头表示十六进制数,后面跟随具体的坐标信息(如49.9886168, 53.1024544)以及eph(如7 eph 333)。这些数据帧共有五组,每组都包含不同的十六进制序列和坐标信息,最后还有一组异常的数据帧,其中包含大量0xFF和无效的十六进制。; 适合人群:对十六进制数据解析、地理信息系统(GIS)、卫星通信相关技术领域感兴趣的开发者、研究人员和技术爱好者。; 使用场景及目标:①用于研究分析特定设备系统传输的数据帧结构;②作为地理定位卫星信号处理的研究样本;③帮助理解和解析类似十六进制编码的数据流。; 其他说明:文档中的数据帧可能来自某种传感器通信设备,但具体来源和用途未明确说明。最后一组数据帧包含大量无效,可能是设备故障传输错误导致。建议结合实际应用场景和技术背景进行深入分析。
sssd-dbus-2.5.2-2.el8_5.3.tar.gz
08-16
# 适用操作系统:Centos8 # Step1、解压 tar -zxvf xxx.el8.tar.gz # Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
【编程语言领域】Kotlin函数式编程与跨平台开发详解:多范式编程特性及应用案例分析
08-16
内容概要:本文深入探讨了Kotlin语言在函数式编程和跨平台开发方面的特性和优势,结合详细的代码案例,展示了Kotlin的核心技巧和应用场景。文章首先介绍了高阶函数和Lambda表达式的使用,解释了它们如何简化集合操作和回调函数处理。接着,详细讲解了Kotlin Multiplatform(KMP)的实现方式,包括共享模块的创建和平台特定模块的配置,展示了如何通过共享业务逻辑代码提高开发效率。最后,文章总结了Kotlin在Android开发、跨平台移动开发、后端开发和Web开发中的应用场景,并展望了其未来发展趋势,指出Kotlin将继续在函数式编程和跨平台开发领域不断完善和发展。; 适合人群:对函数式编程和跨平台开发感兴趣的开发者,尤其是有一定编程基础的Kotlin初学者和中级开发者。; 使用场景及目标:①理解Kotlin中高阶函数和Lambda表达式的使用方法及其在实际开发中的应用场景;②掌握Kotlin Multiplatform的实现方式,能够在多个平台上共享业务逻辑代码,提高开发效率;③了解Kotlin在不同开发领域的应用场景,为选择合适的技术栈提供参考。; 其他说明:本文不仅提供了理论知识,还结合了大量代码案例,帮助读者更好地理解和实践Kotlin的函数式编程特性和跨平台开发能力。建议读者在学习过程中动手实践代码案例,以加深理解和掌握。
【多智能体系统】基于历史速度命令的仿射编队控制增强:理论分析与实验验证(含详细代码及解释)
08-16
内容概要:本文深入探讨了利用历史速度命令(HVC)增强仿射编队机动控制性能的方法。论文提出了HVC在仿射编队控制中的潜在价,通过全面评估HVC对系统的影响,提出了易于测试的稳定性条件,并给出了延迟参数与跟踪误差关系的显式不等式。研究为两轮差动机器人(TWDRs)群提供了系统的协调编队机动控制方案,并通过9台TWDRs的仿真和实验验证了稳定性和综合性能改进。此外,文中还提供了详细的Python代码实现,涵盖仿射编队控制类、HVC增强、稳定性条件检查以及仿真实验。代码不仅实现了论文的核心思想,还扩展了邻居历史信息利用、动态拓扑优化和自适应控制等性能提升策略,更全面地反映了群体智能协作和性能优化思想。 适用人群:具备一定编程基础,对群体智能、机器人编队控制、时滞系统稳定性分析感兴趣的科研人员和工程师。 使用场景及目标:①理解HVC在仿射编队控制中的应用及其对系统性能的提升;②掌握仿射编队控制的具体实现方法,包括控制器设计、稳定性分析和仿真实验;③学习如何通过引入历史信息(如HVC)来优化群体智能系统的性能;④探索中性型时滞系统的稳定性条件及其在实际系统中的应用。 其他说明:此资源不仅提供了理论分析,还包括完整的Python代码实现,帮助读者从理论到实践全面掌握仿射编队控制技术。代码结构清晰,涵盖了从初始化配置、控制律设计到性能评估的各个环节,并提供了丰富的可视化工具,便于理解和分析系统性能。通过阅读和实践,读者可以深入了解HVC增强仿射编队控制的工作原理及其实际应用效果。
基于天翼物联网平台的单灯控制器BootLoader系统_支持远程固件升级和OTA管理的智能路灯控制引导程序_用于城市智慧照明系统的设备固件维护和版本控制_包含STM32嵌入式开发_.zip
08-16
基于天翼物联网平台的单灯控制器BootLoader系统_支持远程固件升级和OTA管理的智能路灯控制引导程序_用于城市智慧照明系统的设备固件维护和版本控制_包含STM32嵌入式开发_.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值