这是否容易受到批量分配的影响？

Question

我使用它来允许用户对条目进行投票：

 <% form_tag url_for(entry_votes_path(@entry)), :id => 'voting_form', :remote => true do %>
      <%= hidden_field_tag 'vote[user_id]', current_user.id  %>
      <%= submit_tag 'Vote for this entry', :id => 'voting_button' %>
 <% end %>

这是我的控制器代码：

def create
    @entry = Entry.find(params[:entry_id])
    @vote = @entry.votes.build(params[:vote])

    respond_to do |format|
    if @vote.save
        format.html { redirect_to @entry }
        format.js
      end
    end
  end

我有两个问题

1. 如何在不使用隐藏字段的情况下分配current_user.id？

2. 另外，我现在没有在投票模型上使用 attr_accessible 或 attr_protected。我应该如何保护模型以确保有人不能创造很多选票？现在，Vote 模型中的所有字段都由 params 哈希设置——我应该使用 attr_protected 上的 entry_id 外键，然后在控制器中单独设置它吗？

   李>

Answer 1

我没有使用 attr_accessible 或 attr_protected 在投票模型上 现在……

然后，根据定义，可以从查询字符串进行批量分配。

我应该使用 attr_protected 吗？ entry_id 外键，然后设置 它在控制器中分开吗？

一般来说，使用 attr_accessible 比使用 attr_protected 更好。这是因为 attr_accessible 为批量分配建立了默认拒绝全部并允许您定义列入白名单的异常。另一方面， attr_protected 强制您将特定属性列入黑名单。当您修改程序并添加设置了 attr_accessible 的新属性时，如果您需要将该属性列入白名单并忘记，程序将失败。换句话说，它安全地失败了。或者，如果您添加一个设置了 attr_protected 的新属性，程序将运行即使新属性应该已包含在黑名单中。换句话说，它不安全地失败了。

这里的规则是保护任何允许从查询字符串中设置的属性是危险的。保护密钥有助于防止注入新行，但如果您想阻止更改现有行内容的能力，则可能需要保护其他字段。

可以在guides.rubyonrails.org 找到一个很好的参考。