73 votes

Nicolas Blanco avatar

Rails 4 Paramètres forts : autoriser tous les attributs ?

Demandé el 25 de Décembre, 2012
Quand la question a-t-elle été
14857 affichage
Nombre de visites la question a
4 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je suis en train de construire une application web avec Rails 4 strong parameters.

Lors de la construction des contrôleurs du back-office admin, je me demande quelle est la meilleure façon d'autoriser tous les attributs du modèle ?

Pour l'instant, j'ai écrit ceci :

def user_params 
  params.require(:user).permit(User.fields.keys)
end

Vous pensez à un meilleur moyen ?

Demandé el 25 de Décembre, 2012 par Nicolas Blanco

0 votes

Avatar de Nicolas Blanco

Pourquoi ? Je ne fais ce genre de choses que dans mon backoffice d'administration où je fais confiance à tous les utilisateurs.

Commenté el 28 de Février, 2014 par Nicolas Blanco

1 votes

Avatar de sevenseacat

Ce n'est pas parce que vous leur faites confiance (et vous ne devriez pas, mais c'est une autre histoire) que le fait de laisser toutes vos données ouvertes à l'écrasement est une faille de sécurité qui ne demande qu'à être exploitée.

Commenté el 28 de Février, 2014 par sevenseacat

0 votes

Avatar de bert bruynooghe

Un principe important en matière de sécurité est l'idée de mettre sur liste blanche les éléments que vous souhaitez explicitement rendre disponibles. En établissant une liste explicite, vous évitez des problèmes comme lorsque vous (ou un collègue) introduisez une nouvelle clé dans votre code et que vous vous attendez à ce qu'elle ne soit disponible que par le biais du contrôleur si vous effectuez des actions explicites. En d'autres termes, respectez les conventions, sauf si vous avez une très bonne raison de ne pas le faire. Presque chaque fois que je l'ai fait dans le passé, je me suis tiré dans le pied.

Commenté el 30 de Mai, 2014 par bert bruynooghe
Afficher 4 autres commentaires

Réponses

Trop de publicités?

148voto

daemonsy avatar
daemonsy Points 2568

Vous pouvez appeler la version bang du permis.

params.require(:user).permit!

Strong Params README sur Github

Code source pour référence :

def permit!
  each_pair do |key, value|
    convert_hashes_to_parameters(key, value)
    self[key].permit! if self[key].respond_to? :permit!
  end

  @permitted = true
  self
end
Répondu el 26 de Décembre, 2012 par daemonsy (2568 Points )

7 votes

Avatar de daemonsy

D'ailleurs, je pense que s'il y avait quelque chose comme permit :all Il me semble qu'il s'agit plus d'une méthode Railish que d'une méthode bang, ce qui signifie généralement que le récepteur a été modifié plus souvent que de marquer une méthode comme dangereuse.

Commenté el 27 de Décembre, 2012 par daemonsy

1 votes

Avatar de Nicolas Blanco

Oui mais permit(:all) ressemble à find(:all) d'ActiveRecord qui est déprécié.

Commenté el 27 de Décembre, 2012 par Nicolas Blanco

1 votes

Avatar de David James

@NicolasBlanco : Je ne vois pas en quoi c'est un problème que permit(:all) ressemble à find(:all) .

Commenté el 5 de Mars, 2013 par David James
Afficher 8 autres commentaires

11voto

vvo avatar
vvo Points 535

Au cas où quelqu'un en aurait besoin pour Rails 6, sans même un modèle lié à votre contrôleur, vous pouvez utiliser :

before_action :accept_all_params

private

def accept_all_params
  params.permit!
end

Et voilà, maintenant vous pouvez jouer avec autant que vous voulez !

Répondu el 14 de Janvier, 2020 par vvo (535 Points )

1voto

Anthony Sallows avatar
Anthony Sallows Points 51

La réponse de Skull0inc fonctionne, mais vous pourriez vouloir supprimer created_at y updated_at . L'intention des paramètres forts est de lister seulement les attributs que vous voulez mettre à jour par le contrôleur. Quelque chose comme...

def user_params
  params.require(:user).permit(User.column_names - ["created_at", "updated_at"])
end
Répondu el 7 de Mars, 2019 par Anthony Sallows (51 Points )

0voto

Skull0inc avatar
Skull0inc Points 1

Est-ce que ça marcherait ?

def user_params 
  params.require(:user).permit(User.column_names)
end
Répondu el 13 de Septembre, 2018 par Skull0inc (1 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X