Rails 安全性漏洞一則 -- attr_protected 與 attr_accessible

我沒辦法在這邊正常的發布有表單HTML tag的文章,請連結至:
http://blog.pixnet.net/zusocfc/post/3220943
觀看完整文章!

Rails中有個安全性漏洞,請參考

* http://manuals.rubyonrails.com/read/chapter/47
* http://www.iteye.com/topic/58686

假設我們有個users table,表格欄位如下:

* username # 很明顯就是帳號
* password # 這就是密碼
* role # 權限名稱

而我們提供給使用者註冊的頁面只會有username跟password欄位
然後你的後端如果是這樣:

User.create(params[:user])

哦.. 這就真的好玩了..
使用者在註冊時直接提權..
那這要怎樣處理呢?

我們可以在
app/model/user.rb
內新增這行:

attr_protected :role

這樣一來,該欄位就會確定被忽略掉而不會被新增..
不過你得做一下這道手續:

user = User.new(params[:user])
user.role = sanitize_properly(params[:user][:role])

===== 分 - 隔 - 線 =====

另外,我們可以使用

attr_accessible :username, :password

這有點類似白名單的方式,可以過濾掉沒出現的欄位...


你可能感兴趣的:(html,.net,Blog,Rails)