如何保护Rails模型属性?
在Rails中,保护模型属性通常涉及到数据验证、授权和数据加密。以下是一些建议和最佳实践:
- 数据验证:使用Rails内置的验证功能,可以确保模型属性中的数据符合预期的格式和范围。在模型类中使用
validates方法定义验证规则,例如:
class User< ApplicationRecord
validates :email, presence: true, uniqueness: true
validates :age, numericality: { greater_than_or_equal_to: 18 }
end- 授权:使用Rails内置的授权功能,可以控制用户对模型属性的访问权限。可以使用
before_action方法在控制器中定义授权规则,例如:
class UsersController< ApplicationController
before_action :authenticate_user!
before_action :set_user, only: [:show, :edit, :update, :destroy]
before_action :check_permission, only: [:edit, :update, :destroy]
def show
end
def edit
end
def update
if @user.update(user_params)
redirect_to @user, notice: 'User was successfully updated.'
else
render :edit
end
end
def destroy
@user.destroy
redirect_to users_url, notice: 'User was successfully destroyed.'
end
private
def set_user
@user = User.find(params[:id])
end
def check_permission
unless current_user.admin? || current_user == @user
redirect_to root_path, alert: 'You are not authorized to perform this action.'
end
end
def user_params
params.require(:user).permit(:email, :age)
end
end- 数据加密:使用Rails内置的加密功能,可以确保模型属性中的数据在存储和传输过程中是加密的。可以使用
attr_encryptedgem来实现数据加密,例如:
gem 'attr_encrypted'class User< ApplicationRecord
attr_encrypted :email, key: 'a secret key'
end总之,保护Rails模型属性需要综合考虑数据验证、授权和数据加密,以确保数据的安全性和完整性。
相关·内容
2回答
如何在Ruby/Rails中指定私有或受保护的属性?
ruby-on-rails、ruby、ruby-on-rails-3、attributes、access-specifier
如何在Ruby/Rails中指定私有或受保护的属性?有什么推荐的教程吗?
在Rails 3.0.7中工作。
浏览 0提问于2011-11-25得票数 0
回答已采纳
2回答
如何保护Rails模型属性?
ruby-on-rails、ruby、model
我的发票模型有一个address_id属性,我不希望这个address_id永远改变。所以我不希望这种情况发生在课堂之外:invoice.address = some_address
Rails会自动将此address_id属性从发票表添加到模型中,那么如何将此属性声明为私有/受保护?
浏览 0提问于2008-09-26得票数 12
回答已采纳
1回答
测试Rails的新的强参数
ruby-on-rails
我刚刚升级到Rails4,并且我已经开始使用强参数而不是受保护的属性。我通常使用单元测试来测试模型的受保护属性,但现在我不确定如何测试,因为此功能已移至控制器。
我正在使用rspec进行测试。
浏览 3提问于2013-07-02得票数 0
回答已采纳
1回答
Mongoid:保护属性不被更改
ruby-on-rails、mongoid
我想保护rails模型属性不被更改,只有在模型进入某种状态(例如。sign_in_count > 1)。环顾四周,看到人们在使用为了保护属性,我可以在条件中使用它吗?
浏览 3提问于2014-04-01得票数 0
回答已采纳
3回答
Rails 4:回形针和rails_admin“未定义的方法`attachment_definitions‘错误”
ruby-on-rails、paperclip、rails-admin
我正在使用rails_admin和回形针,但是安装带有回形针属性的模型的rails_admin时has_attached_file会抛出错误我在主git分支和受保护的属性gem中使用了Rails4和rails_admin。
浏览 1提问于2013-07-08得票数 7
回答已采纳
1回答
不能用params大规模地分配错误
ruby-on-rails
update, options, { :include_blank => true, :selected => nil}) %></div>不能大量分配受保护的属性:更新如果我试图添加:update到Model,返回这个错误:
浏览 0提问于2013-05-07得票数 0
回答已采纳
1回答
单表继承Ruby on Rails
ruby-on-rails
因此,在rails中,使用活动记录,我们可以拥有多个继承用户的模型因此,在rails中,当您创建新员工和尝试访问Employee.salary时,我们只使用一个表,尽管只有经理和主管才能访问这些属性你如何保护这些?Attr方法?
提前谢谢。
浏览 1提问于2010-09-03得票数 2
回答已采纳
1回答
为什么在Rails 3.2.3中批量分配:id不会引发错误?
ruby-on-rails-3
看起来update_attributes不允许我更改id (所以它是受保护的),但是为什么rails不抛出与其他受保护属性相同的错误呢?> rails new mass_assignment_test> rails g model User name:string> rails console
>> u = User.create(:na
浏览 0提问于2012-07-11得票数 2
回答已采纳
3回答
获取nested_attributes的“无法批量分配受保护的属性:”
ruby-on-rails、ruby-on-rails-3、nested-attributes、mass-assignment、attr-accessible
我在Rails3上,我有两个模型,用户和帖子。用户将帖子作为嵌套属性。当我尝试保存用户,然后我得到无法批量分配受保护的属性:.....
浏览 3提问于2013-06-06得票数 0
回答已采纳
2回答
rails未定义的方法`attr_accessible‘
ruby-on-rails、ruby、devise
TOP => db:migrate => environment这是我的user.rb文件的视图,这是我的模型
浏览 0提问于2014-08-26得票数 7
回答已采纳
2回答
Backbone希望包含created_at、updated_at等,但我不希望它包含在内
ruby-on-rails、backbone.js
我在Rails中使用Backbone。我有一个可以创建和销毁的模型。这些属性是受保护的,它们也应该受到保护。Backbone不应该尝试更新这些属性,但Backbone并不知道得更好。当然,一种选择是在我的Rails控制器中删除params[:created_at]等,但我可以想象很快就会变得非常未干,而且必须这样做似乎是错误的。有没有办法告诉Backbone不要在它的表单中包含这些属性?
浏览 0提问于2012-11-13得票数 2
回答已采纳
2回答
如何最好地通过API公开Rails方法?
ruby-on-rails、api
假设我有一个模型foo,我的模型有一个发布!方法,该方法更改了该模型的一些属性,也可能更改了其他一些属性。
现在,Rails的方式建议我通过rest公开我的模型,并让最终用户随意使用参数。方法来保护我的模型?这是看待这个问题的最好方式吗?
浏览 0提问于2009-11-13得票数 2
回答已采纳
1回答
Rails -如何保护属性不受模型外部更新的影响
ruby-on-rails、ruby、rails-activerecord、ruby-on-rails-5
在Rails 5中,我有一个带有属性值的模型,它的值永远不会直接设置,而是总是在before_save回调中计算。我想保护这个属性不被从模型外部更新,这样像f. update_attribute()这样的调用就会失败。我在模型中使用attr_readonly来实现我想要的结果,它非常有效,直到我意识到它阻止了所有的更新!也来自模型本身。因为,根据,这是正确的行为,什么是最好的方式来拒绝对特定属性的修改,但只从外部?
浏览 5提问于2017-03-11得票数 0
1回答
如何在Rails 4模型中保护属性
ruby-on-rails、ruby、ajax
假设我有User模型。在它中,我希望在应用程序中可以看到属性,但是每当我将这些数据发送到客户机( Rails应用程序将是一个API)时,User的一些属性将自动隐藏在对象中,因此不会通过ajax调用发送。例如:在内部,我希望能够正常地更新秘密模型,但是当我通过ajax将用户发送到时,secr
浏览 3提问于2015-08-30得票数 0
回答已采纳
1回答
Rails:在新记录中从变量中定义默认值
ruby-on-rails、ruby-on-rails-3、activerecord
我想用一些默认值创建一个新记录。@frame = Frame.new(:fb_page_id => @fb_page['id'].to_i, :slug => slug, :title => @fb_page['name'], :theme => 'default')<the-page-id
浏览 1提问于2012-01-02得票数 1
回答已采纳
2回答
应保护哪些字段不进行批量分配?
ruby-on-rails、security
我正在对一个Rails 2.3.8应用程序进行安全审计,其中一个问题是我的模型定义中缺少attr_protected或attr_accessible。我理解它们背后的原因,甚至有来帮助进行批量分配,但我正在寻找可能会遗漏的属性。
我遇到的问题是确定哪些字段应该受到保护。对于这一点,人们通常会遵守什么规则吗?我在考虑像外键这样的属性和像admin这样的布尔值?保护是有意义的。我也想知道像STI类型这样的字段,以及多态的*_ type /*_id字段。我看到Rails</e
浏览 2提问于2011-01-11得票数 0
回答已采纳
4回答
嵌套属性可以与继承结合使用吗?
ruby-on-rails、inheritance、single-table-inheritance、nested-attributes
我有以下课程:
has_and_belongs_to_many :people@p.people
=> [#<Person id: nil, name: "Epic Beard Man", typ
浏览 2提问于2010-03-31得票数 7
回答已采纳
2回答
Rails3、has_many :直通和<<运算符
ruby-on-rails-3
将一个应用程序转换到Rails 3.遇到了这个缺失的语法糖。< ActiveRecord::Base has_many :groups, :through => :memberships我不能再在Rails
浏览 1提问于2010-11-04得票数 0
3回答
使用AJAX创建MassAssignmentSecurity::Error的Rails 3.2帖子
ruby-on-rails、jquery、ruby-on-rails-3.2
我有点笨手笨脚的,我正试图借助bokmann的在Rails3.2中创建一个日历应用程序,但是当我试图在我的应用程序中创建一个事件时,我得到了这个错误:
ActiveModel::MassAssignmentSecurity
浏览 0提问于2012-06-22得票数 1
回答已采纳
3回答
Rubyonrails3 :Error:无法大量分配受保护的属性:名称、位置
ruby-on-rails
我对罗尔有意见:
from /usr/local/lib/ruby/gems/1.9.1/gems/railties-3.2.3/lib&#
浏览 2提问于2012-05-21得票数 1
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
活动推荐
腾讯云开发者
