Q&A
モデルの create にわたすときに user_params をわたすと
ActiveModel::ForbiddenAttributesError in PUsersController#create
というエラーが出るのですが
def create user_params = params[:user] tmp_params = {} user_params.each{|key, value| tmp_params[key] = value } user = User.create(tmp_params) puts user user = User.create(user_params)
と1度 params の中身をコピーしたハッシュを作ると
puts user が表示されてから 2 回目の create でエラーになります
(なぜかコピーした方の1回目は成功する)
なぜこういうことがおこるのでしょうか
本当は user_params の中を見てもらえばすぐなのかもしれないですが
個人情報等が含まれるのでみせられないです
回答2件
0
ベストアンサー
なぜこういうことがおこるのでしょうか
実は、params自体はただのHashではなく、ActionController::Parametersというクラスのインスタンスになっていて、Mass Assignment脆弱性(ハッシュをまるごと代入して意図しない属性まで書き換えられてしまう事態)を防ぐために、そのままActiveRecordのupdateなどに使おうとするとエラーとなります。
params.permit(列名)で、書き換え可能な列だけ抽出しましょう。
投稿2018/10/12 07:37
総合スコア145183
0
参考情報
- Ruby on railsにて ActiveModel::ForbiddenAttributesErrorの解決方法がわかりません。
https://teratail.com/questions/124330
- パラメータからcreateするときにはまったところメモ
https://qiita.com/s-mori/items/d1b90d35fac26190c695
- ForbiddenAttributesErrorが発生
http://jangajan.com/blog/2014/09/24/forbiddenattributeserror-in-rails/
...
これはmass assignmentの問題を解決するために、Rails4から標準で導入された対応により発生しました。
mass assignmentとはsubmitしたデータから簡単にModelを作ることができるRailsの仕組みです。
しかし、意図しないパラメータも含んだ状態でModelが作られるという脆弱性のため、このようなエラーが発生するようになりました。
mass assignmentの問題とその対策についての詳細な説明はRails4.0に含まれる strong_parameters についてを参考にしてください。
...
投稿2018/10/13 16:57
総合スコア22324
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2018/10/12 07:42