Rails 安全性漏洞一則 -- attr_protected 與 attr_accessible

我沒辦法在這邊正常的發布有表單HTML tag的文章，請連結至：
http://blog.pixnet.net/zusocfc/post/3220943
觀看完整文章！

Rails中有個安全性漏洞，請參考

* http://manuals.rubyonrails.com/read/chapter/47
* http://www.javaeye.com/topic/58686

假設我們有個users table，表格欄位如下：

* username # 很明顯就是帳號
* password # 這就是密碼
* role # 權限名稱

而我們提供給使用者註冊的頁面只會有username跟password欄位
然後你的後端如果是這樣：

User.create(params[:user])

哦.. 這就真的好玩了..
使用者在註冊時直接提權..
那這要怎樣處理呢？

我們可以在
app/model/user.rb
內新增這行：

attr_protected :role

這樣一來，該欄位就會確定被忽略掉而不會被新增..
不過你得做一下這道手續：

user = User.new(params[:user])
user.role = sanitize_properly(params[:user][:role])

===== 分 - 隔 - 線 =====

另外，我們可以使用

attr_accessible :username, :password

這有點類似白名單的方式，可以過濾掉沒出現的欄位...