Brakeman:使用attr_accessible不受限制的批量分配

Question

我完全理解“批量分配”是什么意思，如果一个模型在attr_accessible下不包含任何字段，它会在标题中给出警告。

现在我有了这个场景。我有一个只有2列的模型，user_id和company_id。我要确保在实例化这个模型的实例时，我没有使用批量赋值。取而代之的是我选择new + save。

但是由于brakeman在这个模型中没有找到任何attr_accessible，所以我在模型中添加了下面这一行：

attr_accessible :user_id, :company_id

发布上面的代码后，前面的问题得到了修复，但brakeman又提出了一个警告:潜在危险属性可用于批量分配。

那么在这种情况下我该怎么做呢？我不想得到任何与批量分配相关的问题。

谢谢。

Answer 1

如果你没有使用批量赋值，那么你可以不带任何参数调用attr_accessible：

class MyModel < ActiveRecord::Base
  attr_accessible
end

这将防止对模型进行任何体量指定。