У меня есть вопрос о решении, которое я считаю безопасным, но хотелось бы получить второе мнение:
В нашем приложении у нас есть пользовательская модель, которая имеет атрибут «роли».Обычно у меня не было бы этого атрибута, назначаемого массово, поскольку пользователи имеют возможность обновлять свою собственную информацию и могли манипулировать почтовым хешем, чтобы включить «роли».
В этом конкретном случае, однако, мы работаем с движком рельсов, который потребовал бы много переделок (которых мы бы предпочли избежать), если мы не оставим атрибут массово-назначаемый.наше решение заключается в следующем: в действии user # update в контроллере мы просто удаляем атрибут role из хэша params перед его обновлением:
params[:user].delete(:roles)
Хотя я понимаю, что это не идеальное решение,это безопасно?
Спасибо за ваш опыт,
Эрвин