cjcoder 2010-05-13 01:23
浏览 321
已采纳

rails 如何过滤非法 request 参数

rails 应该在那一层过滤非法 request 参数,怎么过滤?

比如模型 Order 有个 price 的属性,该属性不允许用户私自更改,在 controller 层调用 @order.update_attributes(params[:order]),如果用户传入非法参数 price,如果执行检验或过滤。

  • 写回答

4条回答 默认 最新

  • okela1985851010 2010-05-13 10:19
    关注

    [quote]我这里的非法参数是指不应该被保存到模型对象的参数,而当调用 @order.update_attributes(params[:order])所有参数都将被保存。
    如何过滤或验证这些参数比较优雅? [/quote]
    rails有这样一个方法。
    attr_protected(*attributes)
    可以看下api,或者google下都可以找到答案的。
    我吧api的代码贴出来,希望对你有帮助。
    [code="ruby"] class Customer < ActiveRecord::Base
    attr_protected :credit_rating
    end

    customer = Customer.new("name" => David, "credit_rating" => "Excellent")
    customer.credit_rating # => nil
    customer.attributes = { "description" => "Jolly fellow", "credit_rating" => "Superb" }
    customer.credit_rating # => nil

    customer.credit_rating = "Average"
    customer.credit_rating # => "Average"[/code]

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
查看更多回答(3条)

报告相同问题?

  • rails 如何过滤非法 request 参数
    2010-05-13 01:23
    回答 4 已采纳 [quote]我这里的非法参数是指不应该被保存到模型对象的参数,而当调用 @order.update_attributes(params[:order])所有参数都将被保存。 如何过滤或验证这些
  • rails 中的参数传递被转义
    2011-12-13 21:33
    回答 1 已采纳 虽然不知道你为什么一定要转回来,不过这个方法可以帮你: [code="ruby"]URI.unescape("http%253A%252F%252F202.114.114.71%253A8080%2
  • rails如何传递参数到controller里面
    2010-08-12 17:48
    回答 3 已采纳 我觉得你既然选择了ror的学习,那么就尽量去掉以前的开发模式的影响吧。ror在rest方面有它独特的效果。 从你的代码中看,似乎没有form标签啊,这个html页面正确么?
  • 使用 Rails 构建 API 实践
    2017-03-25 16:29
    li_001的博客 首先建立一个项目: build-an-api-rails-demo$ rails new build-an-api-rails-demo加入第一个 API resourceBaseController生成控制器:# 我们不需要生成资源文件 $ bundle exe rails g controller api/v1/base --no-...
  • Rails关于判断request请求类型的一个bug
    2009-10-16 15:45
    回答 4 已采纳 佩服你直接质疑是Rails BUG的勇气, 但不得不告诉你, 这是你的问题. [code="java"] # Generates: # form_remote_t
  • Rails
    2017-09-20 15:56
    回答 1 已采纳 http://blog.csdn.net/libin56842/article/details/9409171
  • GOLang发布到Rails应用程序 ruby
    2016-08-22 22:49
    回答 1 已采纳 You'll need to disable CSRF verification for the ItemsController#create action. In your ItemsCont
  • rails 构建 API
    2017-02-07 17:19
    weixin_30780221的博客 我是来鼓吹使用 Rails 写 API 的。原文在此: https://labs.kollegorna.se/blog/2015/04/build-an-api-now/原文有一个很大的缺陷就是读者无法按照它的步骤一步一步的去实现一个可以运行的 demo, 这对经验丰富的开发 ...
  • rails 中js传递中文参数怎么写?
    2008-10-10 22:23
    回答 2 已采纳 1 取参数Request('endfreq'),………… 2 参数编码转换:&systemname=encodeURIComponent(1000MHz),……
  • rails javascript
    2011-08-16 17:55
    回答 2 已采纳 因为浏览器不支持HTTP的DELETE动词,所以你必须使用js。你可以按照这个来做[url]http://tiroc.iteye.com/admin/blogs/973889[/url],如果你不喜欢
  • Rails 5.2应用程序和Golang之间共享Web会话 ruby
    2018-10-04 23:32
    回答 1 已采纳 You can share the session between two backends (regardless of the backends) using redis datastore
  • PHP的webshell免杀
    2023-08-15 04:50
    Rek'Sai的博客 WAF(Web 应用程序防火墙)通过过滤和监控 Web 应用程序与互联网之间的HTTP流量来帮助保护 Web 应用程序。它通常可以保护 Web 应用程序,使其免受跨站点伪造跨站点脚本 (XSS)、文件包含、SQL 注入及其他一些攻击的...
  • Golang重复Rails Devise gem密码加密 ruby
    2017-02-07 13:10
    回答 1 已采纳 I found out https://github.com/consyse/go-devise-encryptor exactly for doing this task
  • ruby on rails_宣布:使用新的HttpPlatformHandler在IIS8(或其他任何工具)上运行Ruby on Rails
    2020-10-10 03:29
    cunfuteng7334的博客 For years there's been numerous hacks and ways to get Ruby on Rails to run on IIS. There's also ways to get Java via Tomcat or Jetty, Go, and other languages and environments to run as well. There's w...
  • rails下修改http头(http header)
    2010-01-22 17:08
    yzhrain的博客 其实就是修改response中一个叫做headers的Hash. 至于header中可以设置什么值,... # 比如对一个非法的请求进行提示 5 秒后,自动跳转到网站的首页 response.headers['http-equiv'] = 'refresh' response.headers[...
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥17 pro*C预编译“闪回查询”报错SCN不能识别
  • ¥15 微信会员卡接入微信支付商户号收款
  • ¥15 如何获取烟草零售终端数据
  • ¥15 数学建模招标中位数问题
  • ¥15 phython路径名过长报错 不知道什么问题
  • ¥15 深度学习中模型转换该怎么实现
  • ¥15 HLs设计手写数字识别程序编译通不过
  • ¥15 Stata外部命令安装问题求帮助!
  • ¥15 从键盘随机输入A-H中的一串字符串,用七段数码管方法进行绘制。提交代码及运行截图。
  • ¥15 TYPCE母转母,插入认方向