`

rails 表单数据保护(attr_protected、 attr_accessible)

阅读更多
attr_protected、 attr_accessible 解析

1:为什么使用这两个方法:
  
   我们提交一个表单,该表单中有一些不可以让用户提交的字段,例如‘激活(active)’字段、‘用户权限(purview)’字段,但是怀有恶意的用户可以模拟表单提交这些属性,可以随意的给自己权限,而我们控制器中的取得属性的代码是Account.new(params[:account]),这句代码,会接受所有的用户模拟提交的account下的信息,此时我们不希望发生的事情发生了,我们要防止这种情况的发生,可以使用以上两个方法。

2:方法解释:
   attr_protected:  指定某些字段不可以通过块来赋值,也就是说Account.new(params[:account])将无法接受这些指定字段,那么我们可以attr_protected :active, :purview 指定这两个字段,后台不会再接受用户恶意提交的这两个字段。

   attr_accessible:  和attr_protected相反,指定只用某些字段可以通过块来提交,也就是说Account.new(params[:account])只能接受指定的字段,这样也可以防止用户的恶意提交。

3: 总结:其实attr_accessible就是限制提交的字段,attr_protected限制后台块接受的字段,通过这两种方式来防止用户的恶意提交。
分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics