Официальным способом предотвращения угроз безопасности с массовым присвоением является attr_accessible. Однако некоторые программисты считают, что это не работа для модели (или, по крайней мере, не только для модели). Простейший способ сделать это в контроллере - это отрезать хэши params:
@user = User.update_attributes(params[:user].slice(:name))
Однако в документации указано:
Обратите внимание, что вместо харша абзаца Hash # except или Hash # для дезинфекции атрибутов не обеспечит достаточной защиты.
Почему? Почему белый список параметров не обеспечивает достаточной защиты?
ОБНОВЛЕНИЕ: Rails 4.0 будет поставлять сильные параметры, уточненный выбор параметров, поэтому я думаю, что целая нарезка была не так уж плоха в конце концов.
Проблема с срезом и за исключением контроллера может возникать в комбинации с accept_nested_attributes_for в вашей модели. Если вы используете вложенные атрибуты, вам нужно будет срезать параметры во всех местах, где вы обновляете их в контроллере, что не всегда является самой легкой задачей, особенно с глубоко вложенными сценариями. С помощью attr_accesible у вас нет этой проблемы.
Как и в случае с Rails 4, нарезка параметров будет предпочтительным методом защиты от массового присвоения. Основная команда Rails уже разработала плагин для решения этой проблемы сейчас, и они работают над интеграцией поддержки вложенных атрибутов и подписанных форм. Определенно, что-то проверить: http://weblog.rubyonrails.org/2012/3/21/strong-parameters/
Интересный смысл от DHH при разрезании в контроллере против белого списка:
https://gist.github.com/1975644
class PostsController < ActionController::Base
def create
Post.create(post_params)
end
def update
Post.find(params[:id]).update_attributes!(post_params)
end
private
def post_params
params[:post].slice(:title, :content)
end
end
Комментарий, подтверждающий необходимость управления этим в контроллере:
https://gist.github.com/1975644#gistcomment-88369
Я лично применяю оба - attr_accessible со срезом, чтобы гарантировать, что ничего неожиданного не пройдет. Никогда не полагайтесь только на черный список!
Просто удаление имени: из хэша params работает, чтобы предотвратить установку этого атрибута для этого действия. Он работает только для действий, которые вы помните, защищая.
Однако эта практика не защищает вас от злоупотреблений, используя все методы, автоматически добавленные для ассоциаций.
class User < ActiveRecord::Base
has_many :comments
end
оставит вас уязвимыми для тех, кто устанавливает атрибут comments_ids, даже если вы удаляете атрибут comments из параметров.
Так как для ассоциаций добавлено множество методов, и поскольку они могут измениться в будущем, наилучшей практикой является защита ваших атрибутов на модели с помощью attr_accessible. Это наиболее эффективно остановит эти атаки.
@tokland Ваш последний комментарий некорректен. Если ваш веб-сайт не имеет браузера в качестве единственной точки входа, в которую входят данные и исчезает.
Если ваш webapp имеет API или взаимодействует с другой защитой API на уровне контроллера, он оставляет за ним дыры, и все данные из других источников не подвергаются дезинфекции или проверке. Я рекомендую сохранять вещи такими, какие они есть, включив защиту массового присвоения в application.rb и продвигая ActiveSupport FormHelpers, чтобы работать как стиль Django/Python.