的Ruby/Rails - 使用符號或字符串來定義模型

Question

我有以下代碼：

if params[:reviewable_type] == 'Offer' 

     reviewable = Offer.find(params[:reviewable_id]) 

    elsif params[:reviewable_type] == 'Request' 

     reviewable = Request.find(params[:reviewable_id]) 

end 

我可以做類似params[:reviewable_type].find(params[:reviewable_id])，基本上是使用包含在參數作爲名稱的字符串簡化此該模型？

Answer 1

你constantize後。

但是，您真的不應該盲目地允許用戶實例化任意類的實例。您應該經常檢查傳入的參數是否包含您預期的白名單中的類別之一：

if %w(Offer Request).include?(params[:reviewable_type]) 
    reviewable = params[:reviewable_type].constantize.find(params[:reviewable_id]) 
end 

Answer 2

這應該工作：

params[:reviewable_type].constantize.find(params[:reviewable_id]) 

但我不建議這樣做安全方面的原因（提示：想你已經發現在params[:reviewable_type]像User）。

至少你應該做這樣的事情：

if ['Offer', 'Request'].include?(params[:reviewable_type]) 
    params[:reviewable_type].constantize.find(params[:reviewable_id]) 
end