Для всех моих приложений-приложений: если пользователь отправляет текстовое поле или текстовое поле, содержащее теги <script></script>
, то я хочу, чтобы рельсы разделили эти теги перед сохранением ввода данных пользователя в базу данных.Разделите сценарии сценариев перед сохранением в базе данных в рельсах
я уже смотрел на следующие должности, которые все вокруг 5 лет:
Я также посмотрел на следующие документы, но я не понял, как применить их к этой ситуации (удалив тег сценария перед сохранением базы данных):
Пример:
Я scaffold
для user
ресурса:
rails g scaffold user first_name last_name age:integer bio:text
Затем пользователь вводит следующее и су bmits это:
должны быть сохранены в базе данных для каждого атрибута этого user
записи следующее:
- first_name: Foo
- last_name: Foo
- Возраст: 5
- биография: Bazz
Спасибо!
@Ven это просто защитная сетка. В случае, если программист не будет правильно скрываться в представлении, возможно, через запрос AJAX. См. Этот вопрос на примере того, когда программист не убежит должным образом в представлении, и теги сценария сохраняются в базе данных: http://stackoverflow.com/questions/39039731/sanitize-ajax-response-that-updates-options- в-select-box нам больше не нужно беспокоиться об этом, если все теги скрипта удаляются до сохранения. – Neil
Rails убегает для вас. Программист не убегает сам. Это 2016. – Ven