私はRails 2.3.8アプリケーションのセキュリティ監査を行っていますが、私のモデル定義にはattr_protected
またはattr_accessible
という不足があります。私はそれらの背後にある推論を理解しており、質量割り当てを手助けするのにwritten a gemさえあるが、私は潜在的に欠けているかもしれない属性を探している。どの項目を一括割り当てから保護する必要がありますか?
私が抱えている問題は、どのフィールドを保護するべきかを決定することです。人々がこれに一般的に従うルールはありますか?私は外部キーのような属性と管理者のようなブーリアンを考えていますか?保護するのが理にかなっています。また、STI型、多型* _type/* _idフィールドなどのフィールドについても疑問に思っています。私は、Rails 3がattributes protected by defaultを導入したのを見ましたが、Rails 2.3.8がこれを持っているとは思われません。
これに関するガイダンスをいただければ幸いです。
http://railscasts.com/episodes/237-dynamic-attr-accessible – apneadiving