С тех пор, как я узнал о дырах в безопасности с attr_accessible, я старался быть очень осторожным, когда дело доходило до такого типа вещей, поэтому мне просто нужно некоторое разъяснение.Rails security attr_accessible пользователи, делающие несанкционированные запросы
Скажем, у меня есть модель комментария и имеет
attr_accessible :user_id
В моей форме я
= f.hidden_field :user_id, :value => @current_user.id
поэтому я не принимая значения от Params, а текущего пользователя фактической Я БЫ.
Мое беспокойство не связано с моими собственными формами, но с запросами на изгоев. Например, что если кто-то отправить пост запрос следующим образом:
POST comments?user_id=5
, когда их user_id на самом деле 1. Будут ли они в состоянии отправить от имени кого-то другого?
спасибо.
на самом деле я бы не отправить current_user.id вообще через скрытое поле или форма. Вы также можете получить доступ к current_user внутри вашего контроллера, вот что я предпочитаю. – Flo