Rails安全性：完全避免大規模分配

Question

我傾向於不需要生產代碼中的mass-assignment功能。 （在我的測試代碼，我用了很多，但在這種情況下我做要設置任意列。）

所以，如果在我的生產代碼，我只是避免這些形式：

Article.new(params[:article]) # or create 
article.attributes = params[:article] 
article.update_attributes(params[:article]) 

，而總是手動枚舉所有的屬性，就像這樣：

Article.new(:title => params[:article][:title], :body => params[:article][:body], ...) 

我是從質量分配安全問題保存（即使不使用attr_accessible/attr_protected）？

編輯：我不只是禁用批量分配的原因是，我希望能寫Article.create!(:blog_id => @blog.id, ...)，其中blog_id是一個「unsave」屬性。

Answer 1

是，採用第2種方法，你是從用戶分配給其他屬性的安全。

這是一個乾燥的方式寫出來，雖然：

Article.new(params[:article].slice(:title, :body)) 

- 或 -

def article_params 
    params[:article].slice(:title, :body) 
end 

Article.new(article_params) # or create 
article.attributes = article_params 
article.update_attributes(article_params) 

Answer 2

在config/environments/production.rb末尾添加這樣的：

ActiveRecord::Base.send(:attr_accessible, nil) 

Answer 3

我無法獲取多個參數約翰Douthat的方法工作，所以我想出了以下替代方案（取自我的CommentsController）：

def set_params 
    @comment.parent_id = params[:blog_comment][:parent_id] 
    @comment.ip_address = request.remote_ip 
    @comment.commentator = current_user.username || "anonymous" 
    @comment.name = params[:blog_comment][:name] 
    @comment.email = params[:blog_comment][:email] 
    @comment.url = params[:blog_comment][:url] 
end 

def create 
    @comment = @post.comments.build(params[:blog_comment]) 
    set_params 

    if @comment.save 
    ... 
end 

def update 
    @comment = Blog::Comment.find(params[:id]) 
    set_params 

    if @comment.update_attributes(params[:blog_comment]) 
    ... 
end