rails ストロングパラメーターについて　requireの必要性について

初学者です。アプリのユーザー登録ページで、ストロングパラメータを下記のように設定したのですが、この場合セキュリティ的に問題ありますか？
def user_params
params.permit(:user_name,:email,:password,:imagename)
end
のところに、.require(:user)がなくてもこの場合問題ないでしょうか。
入れた場合、param is missing or the value is empty: user
のエラーがでます。入力フォームを作り変えた方がいいでしょうか。

html
1<body id="users-index">
2    <div class="container-fluid">
3
4        
5        <h1>ユーザー登録</h1>
6
7        <% if @error_message %>
8         <h4><%= @error_message %></h4>
9        <% end %>
10
11        <%= form_tag('/users/create',method: :post,multipart: true,data:{confirm:"登録後は、マイページのヘルプ(利用方法）で流れを確認してください。"}) do %>
12          <div class="row component">
13            <div class="col-md-10 offset-md-1 content-in">
14              <div class="row">
15              <p>名前</p>
16　　　　　　　　　<input type="text" name="user_name"　maxlength="30" required value="<%=@user.user_name%>">
17              </div>
18              <div class="row">
19                <p>Eメール</p>
20　　　　　　　　　<input type="email" name="email" required value="<%=@user.email%>">
21              </div>
22              <div class="row">
23                <p>パスワード</p>
24　　　　　　　　　<input type="password" name="password" required placeholder="パスワードは6～18文字" value="<%=@user.password%>">
25              </div>
26              <div class="row">
27                 <label><input class="btn btn-danger btn-lg new-btn" type="submit" value="登録する"></label>
28              </div>
29　　　　　　 </div>
30        <% end %>
31
32
33        
34
35        <div class="row pic">
36          <img src="sakura.jpg" class="col-md-8 offset-md-2">
37        </div>
38
39    </div>
40
41    <%= yield %>
42
43</body>
44

ruby
1 def create
2      @user = User.new(user_params)
3      @user.imagename = "default_user.jpg"
4      @user.point = 0
5      @user.finishcount = 0
6      password = params[:password]
7      @user.save
8      if @user.save
9          session[:user_id] = @user.id
10          flash[:notice] = "登録に成功しました"
11          redirect_to("/users/#{@user.id}")  #show
12      else
13         if User.find_by(email:params[:email])
14           @error_message = "そのEmailアドレスは使われています"
15         else
16            if password.length < 6 
17                @error_message = "パスワードは６字以上です"
18            elsif password.length > 18
19                @error_message = "パスワードは１８字以下です" 
20            else
21                @error_message = "入力されたEmailは正しくありません"
22            end
23         end
24          render("/users/new")
25      end
26  end
27  
28  def user_params
29      params.permit(:user_name,:email,:password,:imagename)
30  end

行動規範の内容に同意します

回答1件

ベストアンサー

.require(:user)がなくてもこの場合問題ないでしょうか

問題ないです

form_for @userを使うと
params = {user: { name: ..., email:... }}
という形で params がとんでくるので
params.require で { name: ..., email: ...} がとりだせて
permit でフィルタ出来ますが

form_tag の場合
params = { name: ..., email:... }
といきなり params に input の中身が入ってくるので
そのまま permit が使えます

ただ見た感じ form_for を使ったほうが value を勝手にうめてくれて
value="<%=@user.email%>"
とかかかなくていいので、
わざわざレールから外れる書き方をしなくてもいいいかなという気はしますが
動いてるなら今のままでも問題ないと思います

投稿2020/01/04 16:29

退会済みユーザー

総合スコア0

tori315

2020/01/05 03:40

回答ありがとうございました。仕組みが分かって安心しました。

行動規範の内容に同意します

あなたの回答

tips

プレビュー

行動規範の内容に同意します

質問の解決につながる回答をしましょう。サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう！

ただいまの回答率
85.36%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

『🎄teratailクリスマスプレゼントキャンペーン2024🎄』開催中！

＼teratail特別グッズやAmazonギフトカード最大2,000円分が当たる！／

rails ストロングパラメーターについて　requireの必要性について

関連した質問