[ruby-on-rails] 허용되지 않은 중첩 속성
Bill
많은 Due
객체 가있는 객체가 있습니다. Due
객체도에 속한다 Person
. 한 페이지에 Bill
및 그 자식을 Dues
모두 만들 수있는 양식을 원합니다 . 이 Railscast의 속성과 비슷한 중첩 속성을 사용하여 양식을 만들려고합니다 .
관련 코드는 다음과 같습니다.
due.rb
class Due < ActiveRecord::Base
belongs_to :person
belongs_to :bill
end
bill.rb
class Bill < ActiveRecord::Base
has_many :dues, :dependent => :destroy
accepts_nested_attributes_for :dues, :allow_destroy => true
end
bills_controller.rb
# GET /bills/new
def new
@bill = Bill.new
3.times { @bill.dues.build }
end
bills / _form.html.erb
<%= form_for(@bill) do |f| %>
<div class="field">
<%= f.label :company %><br />
<%= f.text_field :company %>
</div>
<div class="field">
<%= f.label :month %><br />
<%= f.text_field :month %>
</div>
<div class="field">
<%= f.label :year %><br />
<%= f.number_field :year %>
</div>
<div class="actions">
<%= f.submit %>
</div>
<%= f.fields_for :dues do |builder| %>
<%= render 'due_fields', :f => builder %>
<% end %>
<% end %>
bills / _due_fields.html.erb
<div>
<%= f.label :amount, "Amount" %>
<%= f.text_field :amount %>
<br>
<%= f.label :person_id, "Renter" %>
<%= f.text_field :person_id %>
</div>
bills_controller.rb로 업데이트하십시오
!
def bill_params
params
.require(:bill)
.permit(:company, :month, :year, dues_attributes: [:amount, :person_id])
end
적절한 필드가 페이지에 렌더링되고 ( Person
아직 드롭 다운이 없어도 ) 제출이 성공합니다. 그러나 하위 회비는 데이터베이스에 저장되지 않으며 서버 로그에 오류가 발생합니다.
Unpermitted parameters: dues_attributes
오류 직전에 로그에 다음이 표시됩니다.
Started POST "/bills" for 127.0.0.1 at 2013-04-10 00:16:37 -0700
Processing by BillsController#create as HTML<br>
Parameters: {"utf8"=>"✓",
"authenticity_token"=>"ipxBOLOjx68fwvfmsMG3FecV/q/hPqUHsluBCPN2BeU=",
"bill"=>{"company"=>"Comcast", "month"=>"April ",
"year"=>"2013", "dues_attributes"=>{
"0"=>{"amount"=>"30", "person_id"=>"1"},
"1"=>{"amount"=>"30", "person_id"=>"2"},
"2"=>{"amount"=>"30", "person_id"=>"3"}}}, "commit"=>"Create Bill"}
Rails 4에 약간의 변화가 있었습니까?
답변
속성 보호 처리에 변경이있는 것 같습니다. 이제 이전의 선택적 gem strong_parameters가 Rails Core의 일부가되었으므로 컨트롤러의 매개 변수 (모델에서 attr_accessible 대신)를 화이트리스트에 추가해야합니다.
이것은 다음과 같아야합니다.
class PeopleController < ActionController::Base
def create
Person.create(person_params)
end
private
def person_params
params.require(:person).permit(:name, :age)
end
end
그래서 params.require(:model).permit(:fields)
사용될 것입니다
중첩 속성의 경우
params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])
더 자세한 내용은 github 의 Ruby edge API 문서 및 strong_parameters 또는 여기에서 확인할 수 있습니다
답변
문서에서
To whitelist an entire hash of parameters, the permit! method can be used
params.require(:log_entry).permit!
중첩 된 속성은 해시 형식입니다. 내 응용 프로그램에는 Answer.rb 모델에 대한 중첩 속성을 수락하는 Question.rb 모델이 있습니다 (사용자가 작성한 질문에 대한 답변 선택을 만드는 곳). questions_controller에서 나는 이것을한다
def question_params
params.require(:question).permit!
end
중첩 된 응답 속성을 포함하여 질문 해시의 모든 것이 허용됩니다. 중첩 된 속성이 배열 형식 인 경우에도 작동합니다.
말했듯이,이 접근 방식에는 기본적으로 해시 내부에있는 것을 정확하게 지정하지 않고 허용 할 수 있기 때문에 보안 관련 문제가 있는지 궁금합니다. 강한 매개 변수의 목적에 위배되는 것 같습니다.
답변
또는 당신은 단순히 사용할 수 있습니다
def question_params
params.require(:question).permit(team_ids: [])
end
답변
실제로 모든 중첩 매개 변수를 허용 목록에 추가하는 방법이 있습니다.
params.require(:widget).permit(:name, :description).tap do |whitelisted|
whitelisted[:position] = params[:widget][:position]
whitelisted[:properties] = params[:widget][:properties]
end
이 방법은 다른 솔루션보다 유리합니다. 깊은 중첩 매개 변수를 허용합니다.
다른 솔루션은 다음과 같습니다.
params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])
하지마
출처:
https://github.com/rails/rails/issues/9454#issuecomment-14167664
답변
오늘 나는 레일 4에서 작업하는 동안이 같은 문제를 겪었습니다.
<%= f.select :tag_ids, Tag.all.collect {|t| [t.name, t.id]}, {}, :multiple => true %>
그런 다음 내 컨트롤러에는 다음과 같은 강력한 매개 변수가 있습니다.
private
def post_params
params.require(:post).permit(:id, :title, :content, :publish, tag_ids: [])
end
모든 작품!
답변
JSONB 필드를 사용하는 경우 .to_json (ROR)을 사용하여 JSONB 필드를 JSON으로 변환해야합니다.