Rails安全性：完全避免大规模分配

Question

我倾向于不需要生产代码中的mass-assignment功能。 （在我的测试代码，我用了很多，但在这种情况下我做要设置任意列。）

所以，如果在我的生产代码，我只是避免这些形式：

Article.new(params[:article]) # or create 
article.attributes = params[:article] 
article.update_attributes(params[:article]) 

，而总是手动枚举所有的属性，就像这样：

Article.new(:title => params[:article][:title], :body => params[:article][:body], ...) 

我是从质量分配安全问题保存（即使不使用attr_accessible/attr_protected）？

编辑：我不只是禁用批量分配的原因是，我希望能写Article.create!(:blog_id => @blog.id, ...)，其中blog_id是一个“unsave”属性。

Answer 1

是，采用第2种方法，你是从用户分配给其他属性的安全。

这是一个干燥的方式写出来，虽然：

Article.new(params[:article].slice(:title, :body)) 

- 或 -

def article_params 
    params[:article].slice(:title, :body) 
end 

Article.new(article_params) # or create 
article.attributes = article_params 
article.update_attributes(article_params) 

Answer 2

在config/environments/production.rb末尾添加这样的：

ActiveRecord::Base.send(:attr_accessible, nil) 

Answer 3

我无法获取多个参数约翰Douthat的方法工作，所以我想出了以下替代方案（取自我的CommentsController）：

def set_params 
    @comment.parent_id = params[:blog_comment][:parent_id] 
    @comment.ip_address = request.remote_ip 
    @comment.commentator = current_user.username || "anonymous" 
    @comment.name = params[:blog_comment][:name] 
    @comment.email = params[:blog_comment][:email] 
    @comment.url = params[:blog_comment][:url] 
end 

def create 
    @comment = @post.comments.build(params[:blog_comment]) 
    set_params 

    if @comment.save 
    ... 
end 

def update 
    @comment = Blog::Comment.find(params[:id]) 
    set_params 

    if @comment.update_attributes(params[:blog_comment]) 
    ... 
end