[英]Rails and attr_accessible + security
我不確定我是否完全了解安全性和attr_accessible。 為什么將任何屬性視為可安全進行批量分配? 一件事就是能夠將Admin屬性設置為true或類似的東西。 但是為什么認為例如使用戶可以訪問電子郵件是安全的呢? 難道不是一樣糟糕嗎?
好吧,這是一場漫長的辯論,也許這個問題屬於https://security.stackexchange.com/,但無論如何...
遵循的簡單經驗法則是:
您願意直接從用戶輸入中接受並將其保存到數據庫中的任何參數都可以設置為attr_accessible
。
用戶應該不能通過表單發布來更改的任何參數(例如,電子郵件或is_admin等)都不應如此。
如果您有需要有條件地驗證或允許的,只喜歡管理員可以設置的東西,即使如此,他們不應該在attr_accessible列表中列出的屬性。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.