ruby-on-rails - 将密码字段设置为 attr_accessible 是否安全?

标签 ruby-on-rails security mass-assignment 

attr_accessible :email, :password, :password_confirmation

如果没有,您能否给出在删除 attr_accessible 时防止“未定义”错误的方法示例。

最佳答案

很安全。 Attr_accessible 仅对控制应用程序逻辑的属性有危险。例如,如果您有一个标志说“是的,我已经检查过该用户是管理员”,并且它可以由用户设置,因为它是 attr_accessible,那么它就是一个漏洞。

由于密码无论如何都是由用户提供的一条信息,因此使其可由同一用户设置不会改变任何内容。

关于ruby-on-rails - 将密码字段设置为 attr_accessible 是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15980968/

上一篇:dynamics-crm-2011 - 如何以特权用户身份运行 CRM 2011 自定义工作流程事件?

下一篇:asp.net - 通过 web.config 转换,如何在顶部注入(inject)规范 url 规则?

相关文章:

javascript - 如果没有重复脚本,自定义 Stripe 结帐按钮将无法正常工作

java - 删除/清零安全敏感图像的最佳实践?

java - 请求通过 https 加密?

eloquent - Laravel 5.2 多模型保存()

ruby - 无法批量分配 protected 属性 - 它是 attr_accessor 中的批量分配字段

ruby-on-rails - 生产中的引导字形错误404

html - 为什么我的页面自动滚动到底部/

ruby-on-rails - Ruby-如何通过条件最大的多个键检索数组组中的总和

security - 如何设置 Jenkins Slave 权限

Scala 错误或功能?大写字母变量的多重赋值错误

©2024 IT工具网  联系我们