Задать вопрос
kodenji
@kodenji
ruby-on-rails

Гем Devise ( devise_parameter_sanitizer ) не работает или я что-то не понимаю?

Всем привет, в контроллере такие строки:
before_filter :configure_permitted_parameters, :only => [:create]

 protected
  def configure_permitted_parameters
      devise_parameter_sanitizer.for(:sign_up) { |u| u.permit(:email, :password,:password_confirmation, :company) }
      devise_parameter_sanitizer.for(:account_update) { |u| u.permit(:email, :password, :password_confirmation, :current_password, :company) }
  end

Все хорошо, работает. Но допустим если в поле Company вводить какие-нибудь конструкции: теги хтмл разные, какую-нибудь скрипт фигню, он в базу данных в таком виде и записывает, разве он не должен санировать поля, те отрезать все теги и тп, или таким образом нельзя атак сделать, объясните новичку.
  • Вопрос задан
  • 289 просмотров
Комментировать
Подписаться 2 Оценить Комментировать
Решения вопроса 1
@vsuhachev
Нет не должен. Оно только отрезает все не указанные параметры. И насчет тегов - в рельсах все строки по умолчанию безопасные, перед отдачей автоматом эскейпятся, если явно не указать обратное. Т.е. в вашем случае можно все оставить так как есть сейчас.
Ответ написан
1 комментарий
1 комментарий
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Ruby on Rails developer (Middle/Senior)
Баланс-Платформа Москва
от 140 000 до 260 000 ₽
Senior Ruby developer
Hodl Hodl
от 3 000 до 5 000 $
Java developer (Senior)
ИНФОТЕХ Калуга
от 3 200 $
Ещё вакансии
Заказы с Хабр Фриланса
Спарсить TON PLACE: скрейпинг фото и текста с анкет по списку URL
25 апр. 2024, в 05:57
3000 руб./за проект
Правки в webApp готового и написанного телеграмм бота next, tailwind
25 апр. 2024, в 05:29
25000 руб./за проект
Фронтер - DevOps. Развернуть фронт на хостинге. Прокинуть в телегу-бот
25 апр. 2024, в 04:38
10000 руб./за проект
Ещё заказы