Security Tips

Hackers Love Mass Assignment
对于多个变量同时赋值,黑客比较喜欢利用这个特性进行攻击:

比如直接从一个表单中提取参数赋值个一个对象的各个属性,这样做的话,黑客可以通过curl命令来模拟提交表单的各个参数,而在其中加入为一些关键的属性赋值,例如admin=true, 这样黑客就可以获得管理员权限,从而破坏网站。

解决的方法是:
把那些关键属性添加一条命令:
attr_protected :admin

但是这种做法只能保护某一些属性,更好的做法也许是
attr_accessible :name

这种做法可以保证通过表单的mass assignment 只能为某一个属性赋值。

你可能感兴趣的:(html,Blog,Security,Rails)