【发布时间】:2011-06-20 07:36:06
【问题描述】:
我对我认为安全的解决方案有疑问,但希望获得第二意见:
在我们的应用程序中,我们有一个用户模型,它有一个“角色”属性。通常,我没有这个属性可以批量分配,因为用户有可能更新他们自己的信息并且可以操纵帖子哈希以包含“角色”。
然而,在这种特殊情况下,我们正在使用一个需要大量修补(我们宁愿避免)的 Rails 引擎,除非我们让属性可以批量分配。
现在,我们的解决方案如下: 在控制器的 user#update 操作中,我们只是在更新之前从 params 哈希中去除角色属性:
params[:user].delete(:roles)
虽然我知道这不是一个理想的解决方案,但它安全吗?
感谢您的专业知识,
欧文
【问题讨论】:
标签: ruby-on-rails security mass-assignment