Làm cách nào tôi có thể đặt 'attr_accessible' để KHÔNG cho phép truy cập BẤT CỨ trường nào CHO mô hình sử dụng Ruby on Rails?

Question

Nếu trong một file mô hình tôi chỉ có mã này:

class Users < ActiveRecord::Base 
end 

điều này có nghĩa? Tất cả các thuộc tính liên quan đến mô hình có thể truy cập được hay không?

Làm thế nào tôi có thể thiết lập 'attr_accessible' để không cho phép truy cập vào bất kỳ của các trường cho mô hình đó?

Answer 1

Chỉ cần thiết lập:

class Users < ActiveRecord::Base 
    attr_accessible #none 
end 

Giống như Pan Thomakos nói (attr_accessible là mảng các tham số có thể được hàng loạt ret Vì vậy, nếu bạn gửi trong không biểu tượng, sau đó không có thông số sẽ có thể truy cập

..

This ticket was useful

Answer 2

Theo mặc định, các thuộc tính đều là attr_accessible (có nghĩa là chúng có thể được đặt theo thứ tự khối lượng của tôi).

• attr_accessible - chỉ danh sách thuộc tính này có thể được đặt theo phân bổ hàng loạt (danh sách trắng).
• attr_protected - những thuộc tính này không thể được đặt theo phân bổ hàng loạt (danh sách đen).
• attr_readonly - những thuộc tính này không thể được đặt trừ khi bản ghi được tạo.

Để vô hiệu hóa hàng loạt nhiệm vụ hoàn toàn, sử dụng một cái gì đó như thế này:

 
ActiveRecord::Base.send(:attr_accessible, nil) 

Lệnh này sẽ vô hiệu hóa hàng loạt nhiệm vụ cho tất cả các đối tượng ghi lại hoạt động, nhưng bạn có thể chỉ định một hoặc nhiều mô hình để thực hiện lệnh này nếu bạn muốn chuyển nhượng hàng loạt trong một số trường hợp nhưng không phải trong trường hợp khác.

Answer 3

Bắt đầu với Rails 3.1, tùy chọn cấu hình sau đây có sẵn để vô hiệu hóa hàng loạt nhiệm vụ theo mặc định cho tất cả các mô hình cho đến khi bạn gọi một cách rõ ràng attr_accessible hoặc attr_protected:

config.active_record.whitelist_attributes = true 

Xem http://edgeguides.rubyonrails.org/security.html#mass-assignment và https://github.com/rails/rails/commit/f3b9d3aba8cc0ffaca2da1c73c4ba96de2066760