在Rails中,attr_accessor和attr_accessible之间的区别是什么?根据我的理解,使用attr_accessor用于为该变量创建getter和setter方法,以便我们可以像Object一样访问该变量。变量或对象。变量= some_value。
我读到attr_accessible使得外部世界可以访问特定的变量。 有人能告诉我有什么区别吗
在Rails中,attr_accessor和attr_accessible之间的区别是什么?根据我的理解,使用attr_accessor用于为该变量创建getter和setter方法,以便我们可以像Object一样访问该变量。变量或对象。变量= some_value。
我读到attr_accessible使得外部世界可以访问特定的变量。 有人能告诉我有什么区别吗
当前回答
attr_accessor是一个Ruby方法,用于创建getter和setter。attr_accessible是一个Rails方法,允许您将值传递给一个质量赋值:new(attrs)或update_attributes(attrs)。
这是一个质量分配:
Order.new({ :type => 'Corn', :quantity => 6 })
您可以想象,订单可能还有一个折扣代码,例如:price_off。如果你没有将:price_off标记为attr_accessible,你可以阻止恶意代码这样做:
Order.new({ :type => 'Corn', :quantity => 6, :price_off => 30 })
即使你的表单没有一个字段:price_off,如果它在你的模型中,它默认是可用的。这意味着一个精心制作的POST仍然可以设置它。使用attr_accessible列出那些可以被大量分配的东西。
其他回答
Attr_accessor是ruby代码,当数据库中没有列,但仍然想在表单中显示字段时使用。允许这样做的唯一方法是attr_accessor:fieldname,你可以在你的视图或模型中使用这个字段,如果你想的话,但主要是在你的视图中。
让我们考虑下面的例子
class Address
attr_reader :street
attr_writer :street
def initialize
@street = ""
end
end
这里我们使用了attr_reader(可读属性)和attr_writer(可写属性)进行访问。但我们可以使用attr_accessor实现相同的功能。简而言之,attr_accessor提供了对getter和setter方法的访问。
修改后的代码如下所示
class Address
attr_accessor :street
def initialize
@street = ""
end
end
attr_accessible允许你列出所有你想要允许批量赋值的列。与此相反的是attr_protected,这意味着我不希望任何人被允许批量分配到这个字段。它很可能是数据库中的一个字段,您不希望任何人随意摆弄它。比如状态字段之类的。
attr_accessor是一个Ruby方法,它为同名的实例变量提供setter和getter方法。所以它等于
class MyModel
def my_variable
@my_variable
end
def my_variable=(value)
@my_variable = value
end
end
attr_accessible是一个Rails方法,用于确定在质量分配中可以设置哪些变量。
当你提交一个表单时,你有一个类似MyModel的东西。New params[:my_model]然后你想要有更多的控制,这样人们就不能提交你不想让他们提交的东西。
您可以使用attr_accessible:email,这样当有人更新他们的帐户时,他们可以更改他们的电子邮件地址。但你不会使用attr_accessible:email,:salary,因为这样人们就可以通过表单提交来设置他们的工资。换句话说,他们可以通过黑客获得加薪。
这类信息需要明确地处理。仅仅从表单中删除它是不够的。有人可以使用firebug将元素添加到表单中以提交工资字段。他们可以使用内置的curl向控制器更新方法提交新的工资,他们可以创建一个脚本,提交带有该信息的帖子。
attr_accessor是关于创建存储变量的方法,attr_accessible是关于海量赋值的安全性。
一个快速而简洁的差异概述:
attr_accessor is an easy way to create read and write accessors in your class. It is used when you do not have a column in your database, but still want to show a field in your forms. This field is a “virtual attribute” in a Rails model. virtual attribute – an attribute not corresponding to a column in the database. attr_accessible is used to identify attributes that are accessible by your controller methods makes a property available for mass-assignment.. It will only allow access to the attributes that you specify, denying the rest.
attr_accessor是一个Ruby方法,用于创建getter和setter。attr_accessible是一个Rails方法,允许您将值传递给一个质量赋值:new(attrs)或update_attributes(attrs)。
这是一个质量分配:
Order.new({ :type => 'Corn', :quantity => 6 })
您可以想象,订单可能还有一个折扣代码,例如:price_off。如果你没有将:price_off标记为attr_accessible,你可以阻止恶意代码这样做:
Order.new({ :type => 'Corn', :quantity => 6, :price_off => 30 })
即使你的表单没有一个字段:price_off,如果它在你的模型中,它默认是可用的。这意味着一个精心制作的POST仍然可以设置它。使用attr_accessible列出那些可以被大量分配的东西。
两个字:
Attr_accessor是getter, setter方法。 而attr_accessible表示特定属性是否可访问。就是这样。
我想补充的是,我们应该使用Strong参数而不是attr_accessible来防止大量分配。
干杯!