可能在这里做一些愚蠢的事情,但这是我的基本饼干类:
class League < ActiveRecord::Base
private
def league_params
params.require(:full_name).permit!
end
end
当创建一个新的联盟实例时:
2.0.0-p0 :001 > l = League.new(full_name: 'foo',short_name: 'bar') WARNING: Can't mass-assign protected attributes for League: full_name,short_name
我在这里做错了什么?这是一个Rails 4.0.0.beta1构建Ruby 2.0
**更新**
我现在意识到强大的参数是现在在Controller中而不是在模型中执行的.原来的问题依然存在.如果在控制器级别允许,如何在Rails控制台中创建实例,如何正确地将属性列入白名单?在这种情况下,是否也不需要使用attr_accessible,从而完全复制了什么强大的参数试图“修复”?
解决方法
两件事情.控制器中的league_params定义不在模型中.而params.require()应包含必须存在于参数中的模型的名称,而不是属性.属性存在检查应该仍然在模型验证中.在您使用许可证之前,请确保您真的想允许访问联盟模型中的所有属性.所以,它应该是这样的:
class LeaguesController < ApplicationController
private
def league_params
params.require(:league).permit!
end
end
更新:
是的,如果要在直接访问模型时限制属性,则需要切换回使用模型中的attr_accessible.该功能已被移至此gem:https://github.com/rails/protected_attributes.
我认为假设如果您直接在控制台中使用模型,则您不需要保护属性,因为您确切知道要输入的内容.由于控制台可以完全访问您的应用程序,因此恶意分配属性将很容易地软整个数据库.