Q&A
前提・実現したいこと
ruby on rails でWebアプリを作っています。
初心者ですがストロングパラメーターについて調べてもわかりませんでしたので教えていただけないでしょうか。
以下のようなコードではstrong parameterの設定は必要なのでしょうか。
①以下のコードではないのですが、.update(params[:post])となっている場合のみMass-assignmentになるのでstrong parameteが必要なのでしょうか
色々調べましたがどちらとも確信が持てません。
ストロングパラメーターを設定するのに越したことはないのかもしれませんが後学のために教えていただけますと幸いです。
該当のソースコード
def update
if @user = User.find_by(id:params[:id]).update(
first_name: params[:first_name],
last_name: params[:last_name],
tel: params[:tel],
email: params[:email],
password:params[:password],
)
flash[:notice]= "アップデートに成功しました。"
redirect_to("/user/#{params[:id]}/show")
else
flash[:notice] ="アップデートに失敗しました。"
render("/user/#{@user.id}/edit")
end
end
ruby on rails
回答1件
0
ベストアンサー
…私も初学者レベルなので何とも言えませんが…。
私は基本的に、データベースに保存するすべての入力データに対してストロングパラメーターを使っています。
ストロングパラメーターは不正なデータ入力からデータベースとアプリを守るためのセキュリティシステムの役割を持っています。
悪意ある第三者に不正なデータ-例えば攻撃用のスクリプトとか-を入力されたら困りますよね?
そこで、ストロングパラメーターを使うことで、**「自分が欲しい類の情報以外の情報がアプリ内部に到達することを許さない!」**とすることができます。
実際にparamsを見てみるとわかるのですが、ストロングパラメーターを使った欲しいparamsにはpermitted: trueが、そうでない部分ではpermitted: falseが、それぞれ確認できるはずです。
ですので、セキュリティの観点から、ストロングパラメーターは可能な限り使うべきだと考えています。
…もしもっとできる方がいらっしゃいましたら、よりよい修正をお願いします!
投稿2019/08/21 09:18
総合スコア130
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/08/21 11:12
2019/08/21 11:39
2019/08/22 13:57