2017-05-23から1日間の記事一覧

【Rails】Model.newにparamsを渡してしまうのは危険

こんなコードは危ない # controllers/users_controller.rb def create @user = User.new(params[:user]) ... end ユーザー情報すべてを渡してしまっているため、 管理者フラグを含めるカラムが存在する場合、 リクエストにadmin=1相当のデータを含めることで…