Задать вопрос
kodenji
@kodenji
ruby-on-rails

Гем Devise ( devise_parameter_sanitizer ) не работает или я что-то не понимаю?

Всем привет, в контроллере такие строки:
before_filter :configure_permitted_parameters, :only => [:create]

 protected
  def configure_permitted_parameters
      devise_parameter_sanitizer.for(:sign_up) { |u| u.permit(:email, :password,:password_confirmation, :company) }
      devise_parameter_sanitizer.for(:account_update) { |u| u.permit(:email, :password, :password_confirmation, :current_password, :company) }
  end

Все хорошо, работает. Но допустим если в поле Company вводить какие-нибудь конструкции: теги хтмл разные, какую-нибудь скрипт фигню, он в базу данных в таком виде и записывает, разве он не должен санировать поля, те отрезать все теги и тп, или таким образом нельзя атак сделать, объясните новичку.
  • Вопрос задан
  • 290 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@vsuhachev
Нет не должен. Оно только отрезает все не указанные параметры. И насчет тегов - в рельсах все строки по умолчанию безопасные, перед отдачей автоматом эскейпятся, если явно не указать обратное. Т.е. в вашем случае можно все оставить так как есть сейчас.
Ответ написан
1 комментарий
1 комментарий
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Ruby on Rails developer (Middle/Senior)
Баланс-Платформа Москва
от 180 000 ₽
Python Developer with Airflow, Supabase, and GCP Experience
Genue
от 4 000 $
Senior/TeamLead Golang Разработчик
Wanted. Санкт-Петербург
До 450 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Смарт-контракт на блокчейне TON
06 нояб. 2024, в 00:03
40000 руб./за проект
Ручное тестирование приложения в сторах (iOS и Android)
05 нояб. 2024, в 23:19
3000 руб./за проект
Разработать одностраничный сайт , на сайте будет описание проекта
05 нояб. 2024, в 22:00
5000 руб./за проект
Ещё заказы