Q&A
なんのために「書き換えても本来のidが欲しい」のでしょうか。
simple_formで編集フォームを用意しブラウザで確認している際に下の id や action の部分の数字をhtml上で書き換え更新をするとcontrollerでparams[:id]を取得すると本来のidではなく書き換えた数字がきてしまいます。
<form class="simple_form edit_list" id="edit_test_1" novalidate="novalidate" enctype="multipart/form-data" action="/tests/1" accept-charset="UTF-8" method="post">
書き換えても本来のidが欲しい場合はどのように対処すればいいのでしょうか。
よろしくお願いします。
回答1件
0
ベストアンサー
故意に書き換えられほかのデータが改ざんされるのではないかと心配しております。
本来編集できるものであれば、同様の編集を手作業でもできるわけですし、何ら問題ありません。
逆に本来編集できないものの場合は、サーバサイドでIDを見て編集権限がないものを弾く必要が、(IDの書換と関係なく)あります。
つまり、「ID書き換え」だけに対する対策は不要です。
投稿2019/03/27 02:02
総合スコア145183
ご回答ありがとうございます。
例えば1つのuserに対して複数のpostが紐づいている場合にpostの更新をする際に今回のように書き換え更新をすると同一userの違うpostの情報が書き換えられる可能性があると思うのですが、こういった状況への対処はどうすればよいでしょうか。
第三者にフォームを書き換えられるというのであれば大問題ですが、当人が意図してやっている、かつその当人が本来書き換え可能な箇所というのであれば、「同一userの違うpostの情報が書き換えられる」ことも本来起きうること(違うpostを編集したのと同じ結果になるだけ)なので、特に問題はないと思うのですが。
確かにそうですね(^^;)
考えすぎていました。
ありがとうございました。
あなたの回答
tips
プレビュー
