質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.47%

  • Ruby on Rails

    7479questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

  • Ruby on Rails 4

    2455questions

    Ruby on Rails4はRubyによって書かれたオープンソースのウェブフレームワークです。 Ruby on Railsは「設定より規約」の原則に従っており、効率的に作業を行うために再開発を行う必要をなくしてくれます。

from_forを使用し,外部キーをコントローラに渡す際のセキュリティーについての質問

受付中

回答 0

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 488

NaojirouHisada

score 52

実装内容

現在Facebookのようなアプリを作成中です。
コメントの表示・投稿・保存の機能は既に実装していますが、
安全にコントローラーに値を渡したい

背景

ネットの記事やある講師から、
hiddenフィールドはセキュリティー上良くないため、あまり使わないよう言われていたため。

問題点

一応hiddenを使わずに外部キーを渡す方法は成功したましたが、
まだRaisを学び始めてほんのちょっと理解してきたくらいなので、
これがセキュリティー上危ないのか知りたいです。

なので、
アドバイスがほしいです。
よろしくお願いします。

ソースコード

コメントの投稿フォームはshow.html.erbにレンダーする形で表示します。

show.html.er
<%= @user.first_kanji%>


<%= link_to '基本情報編集' ,edit_user_path(@user) %>

<%= render 'follow_form' if logged_in? %>

<hr />

<% if @user.microposts.any? %>

<%= render partial: 'microposts/micropost', collection: @microposts %>



<% end %>
userController
class UsersController < ApplicationController

    before_action :set_user, only: [:show , :edit , :update ]

    def show
        @user = User.find(params[:id])
        @microposts = @user.microposts
        @comments = @user.comments.build
        @replay = Replay.new
        if current_user.follower_relationships.any?
            if @user.id == current_user.id 
                @follower_relationships = 
                    current_user.follower_relationships.find_by( params[:followed_id] == current_user.id)
            else
                @follower_relationships = 
                    current_user.follower_relationships.find_by(params[:follow_id] == @user.id  , params[:followed_id] == current_user.id)
            end
        end
        if current_user.following_relationships.any?
            if @user.id == current_user.id 
                @following_relationships = 
                    current_user.following_relationships.find_by(params[:follow_id] == current_user.id )  
            else

                @following_relationships = 
                    current_user.following_relationships.find_by(params[:follow_id] == current_user.id ,  params[:followed_id] == @user.id )
            end
        end

    end
_micropost.html.erb

<div id="micropost<%=micropost.id %>">
  <% @micropost = micropost %>


    <p><%= micropost.user.first_kanji %> <%= micropost.user.last_kanji %>さん<br />


    <%= micropost.content %>



    <%  if  current_user.following?(@user) && @following_relationships.status == 1 || current_user.follower?(@user)  &&  @follower_relationships.status == 1  %>
        <%= render partial:'shared/comment_form' , locals:{comments: @micropost.comments} %>
    <% end %>

    <div id="comments<%=micropost.id %>">
        <%= render  partial: 'comments/comment' ,collection: @micropost.comments %>
    </div>





    <%- if current_user == micropost.user %>

    <%= link_to "削除", micropost , method: :delete , data:{confirm: "削除してよろしいですか?"} %>

    <% end %>
</div> 
<hr />
_comment_form.html.erb


<%= form_for(@comments,
   url: replays_path(:micropost_id => @micropost.id,:user_id => current_user.id ),
   remote: true) do |f| %>

    <%= f.text_field :content , class: "comment_field" %>





    <%= f.submit 'コメントする' %>
<% end %>

お手数おかけしますが、
宜しくお願いします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

まだ回答がついていません

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.47%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • Ruby on Rails

    7479questions

    Ruby on Railsは、オープンソースのWebアプリケーションフレームワークです。「同じことを繰り返さない」というRailsの基本理念のもと、他のフレームワークより少ないコードで簡単に開発できるよう設計されています。

  • Ruby on Rails 4

    2455questions

    Ruby on Rails4はRubyによって書かれたオープンソースのウェブフレームワークです。 Ruby on Railsは「設定より規約」の原則に従っており、効率的に作業を行うために再開発を行う必要をなくしてくれます。