2
attr_accessible :email, :password, :password_confirmation
그렇지 않은 경우 attr_accessible을 제거하면 '정의되지 않은'오류가 발생하지 않도록하는 방법의 예를 들어 주시겠습니까?비밀번호 필드를 attr_accessible로 설정하는 것이 안전합니까?
A
답변
2
안전합니다. Attr_accessible은 응용 프로그램 논리를 제어하는 속성에만 위험합니다. 예를 들어 "이 사용자가 관리자인지 확인했습니다"라는 플래그가 있고 attr_accessible이기 때문에 사용자가 설정할 수 있습니다. 그러면 취약점입니다.
암호는 사용자가 제공하는 정보이므로 동일한 사용자가 설정할 수 있으므로 아무 것도 변경되지 않습니다.
2
보안 편집증 경우,이 메소드 암호를 정의하는 할 수있는 :
def password
self.password
end
암호를 수동으로 설정할 수 없습니다 이런 식으로.
하지만 devis와 같은 많은 로그인 젬이 attr_accessible에 비밀번호가 필요하기 때문에 걱정하지 않아도됩니다.
+0
하) 감사합니다. 나는 편집증이 아니지만 해킹이 어떻게 작동하는지 모르기 때문에 그러한 문제가 보안에 어떻게 반영되는지 말할 수는 없습니다. 방금 보안과 관련이 있다는 것을 알았습니다.) –
관련 문제
- 1. awakeFromNib에서보기의 값을 설정하는 것이 안전합니까?
- 2. 캐스팅하지 않고 int를 double로 설정하는 것이 안전합니까?
- 3. 블록 내에서이 속성을 설정하는 것이 안전합니까?
- 4. MaxJsonLength는 항상 최대 값으로 설정하는 것이 안전합니까?
- 5. 세션에서 사용자 비밀번호 해시를 유지하는 것이 안전합니까? PHP
- 6. nodeapi를 사용하여 drupal에 필드를 설정하는 것이 가능합니다
- 7. 비밀번호 필드를 $ _POST에 비워두면 비밀번호 필드를 어떻게 업데이트하지 않습니까?
- 8. 데이터베이스에 큰 테이블이있는 것이 안전합니까?
- 9. cakephp 비밀번호 필드를 맞춤화하십시오
- 10. 참조로 필드를 비 관리 코드로 전달하는 것이 안전합니까?
- 11. 중요한 데이터를 HttpSession에 저장하는 것이 안전합니까?
- 12. 휘발유를 버리는 것이 안전합니까?
- 13. CancellationToken.None에 등록하는 것이 안전합니까?
- 14. MainActivity를 사용하는 것이 안전합니까?
- 15. 세션만으로 로그인하는 것이 안전합니까?
- 16. 해시를 자르는 것이 안전합니까?
- 17. 스트림을 반환하는 것이 안전합니까?
- 18. 현지화에 HttpModule을 사용하는 것이 안전합니까?
- 19. PHP 최대 실행 시간을 600으로 설정하는 것이 안전합니까?
- 20. $ PATH에 python bin을 다른 python 버전으로 설정하는 것이 안전합니까?
- 21. socket.io에 높은 닫기 시간 제한을 설정하는 것이 안전합니까?
- 22. 무시하도록 SVN을 설정하는 것이 안전합니까? 버전 제어되어야하는 디렉토리에?
- 23. NuGet 패키지 버전 번호의 일부를 65535 이상으로 설정하는 것이 안전합니까?
- 24. PHP 객체로 재귀 적 속성을 설정하는 것이 안전합니까?
- 25. identity impersonate = true를 계속 사용하려면 validateIntegratedModeConfiguration = false를 설정하는 것이 안전합니까?
- 26. 스레드의 부울 값을 다른 스레드의 부울 값으로 설정하는 것이 안전합니까?
- 27. 활성 리소스 HTTP 인증을 사용자 단위로 설정하는 것이 안전합니까?
- 28. Rspec & Paperclip : attr_accessible로 손상 되었습니까?
- 29. NSThread를 공개하는 것이 언제 안전합니까?
- 30. 자바 스크립트로만 입력을 확인하는 것이 안전합니까?
왜 암호를 알아야합니까? – ant
? 왜냐하면 사용자가 인증 할 때 컨트롤러에서 DB에 입력 비밀번호가 같은지 확인하기 때문입니다. –