Q&A
ありがとうございます。そういうことだったのですね。findする前に自分でチェックして数字以外なら404にリダイレクトするようにしました。
rails5でサイトを作っていて以下のような事象が発生しました。
正しいURL:https://test.com/articles/55
誤ったURL:https://test.com/articles/55r
誤っているURLは記事IDの末尾に"r"がついているのですが、なぜかエラーにならず正しいURLで表示するページ(記事ID:55)が表示されます。
ログを見ると以下の通りです。
ruby
1Processing by Services::ArticlesController#show as HTML 2 Parameters: {"id"=>"55r"} 3 Article Load (0.4ms) SELECT `articles`.* FROM `articles` WHERE `articles`.`id` = 55 LIMIT 1
実際の該当部分のコードは以下の通りです。
ruby
1@article = Article.find(params[:id])
railsが気を利かしてパラメーター末尾の"r"を外してfindしているようなのですが、これを無効化することって出来るのでしょうか?
回答2件
0
自分でparams[:id]の中身が数値文字列かチェックする、ぐらいしか手段がなさそうです。
ActiveRecord::Base#findの中では、結局where(主キー => 値)のように処理しています(ソース)。
そして、このwhereにintegerの列を渡すと、最終的にActiveModel::Type::Integerで型変換が行われて、to_iで処理されることで(ソース)、「整数とみなせない文字があればそこまでを変換対象と」する動作となっています(るりま)。つまり、この「数値の後に文字列が続く」パターンを数値として解釈するのは、Rails作り付けとなっていて、変更するのはやめたほうがいいというレベルです。
投稿2018/06/05 02:26
総合スコア145183
0
ベストアンサー
Railsが気を利かせて、というより文字列で渡されたデータを数値化しようとするとこうなります。
ruby
1"55r".to_i #=> 55
すべて数値であることを確認したければ、入力値の検査として params[:id] をチェックする必要があると思いますし、そもそも Article の id が数値なのであれば、自分で数値に変換して処理するべきだと思います。
投稿2018/06/05 02:15
総合スコア6753
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/06/05 02:54