как безопасно передать связанный Class_id через скрытое поле формы

Question

У меня есть модель GroupCoach, Group Coaches has_many: groups.В моей новой форме группы я хочу передать group_coach_id объекту Group в скрытом поле, чтобы группа ассоциировалась с GroupCoach без необходимости выбирать пользователя.

Так в моем Groups_Controller

 @group = Group.new
 @group_coach = GroupCoach.first(:order => "RAND()")

Это будет случайный GroupCoach.и затем в новом представлении группы у меня есть скрытое поле

<%= f.hidden_field @group_coach  %>

Это, очевидно, не работает на 100% правильно.Он передает group_coach_id, но не сообщает форме, в каком столбце сохранить его ...

Я также слышал, что это очень небезопасно ...

Answer 1

Сделать столбец токена.Просто зашифруйте его SHA1 (или как вы его выберете) и передайте его.Гораздо сложнее догадаться.

Answer 2

Я использовал следующий код для решения этой проблемы

<%= f.hidden_field :group_coach_id, :value => @group_coach.id   %>

Но является ли это наиболее безопасным?Кажется довольно небезопасным, так как я могу изменить значение в Firebug или что-то в этом роде ...