Нужно ли защищать от массового присвоения, если у модели нет связанного контроллера?

Question

Возможно, это звучит глупо для опытного разработчика Rails.Нужно ли защищать от массового назначения, если модель не имеет связанного контроллера?Я предполагаю, что мне это не нужно, но было бы здорово, если бы кто-нибудь смог это подтвердить.

Кроме того, как насчет сценария, где - это контроллер, но нет пути кдействия создания / обновления / уничтожения?

Спасибо, Ноэль

Answer 1

Я бы сказал «да», поскольку другой контроллер (или метод библиотеки, задание cron, отложенное задание и т. Д.) Теперь (или в будущем) может обновить эту модель и, таким образом, поставить вопрос о массовом назначении, вызывающий беспокойство.

Вопрос о маршруте во многом зависит от версии rails.

В Rails2 обычно есть маршрут по умолчанию, который может привести его к контроллеру.

Rails3 более ограничен и требуетуказанный маршрут, если не добавлен стиль rails2 по умолчанию.