แอตทริบิวต์ที่ซ้อนกันพารามิเตอร์ที่ไม่อนุญาต

ฉันมีBillวัตถุซึ่งมีDueวัตถุมากมาย วัตถุยังเป็นของDue Personฉันต้องการแบบฟอร์มที่สามารถสร้างBillและลูก ๆDuesทั้งหมดในหน้าเดียว ฉันกำลังพยายามสร้างแบบฟอร์มโดยใช้แอตทริบิวต์ที่ซ้อนกันคล้ายกับในRailscastนี้

รหัสที่เกี่ยวข้องแสดงอยู่ด้านล่าง:

due.rb

class Due < ActiveRecord::Base
    belongs_to :person
    belongs_to :bill
end

bill.rb

class Bill < ActiveRecord::Base
    has_many :dues, :dependent => :destroy 
    accepts_nested_attributes_for :dues, :allow_destroy => true
end

bills_controller.rb

  # GET /bills/new
  def new
      @bill = Bill.new
      3.times { @bill.dues.build }
  end

ค่าใช้จ่าย / _form.html.erb

  <%= form_for(@bill) do |f| %>
    <div class="field">
        <%= f.label :company %><br />
        <%= f.text_field :company %>
    </div>
    <div class="field">
        <%= f.label :month %><br />
        <%= f.text_field :month %>
    </div>
    <div class="field">
        <%= f.label :year %><br />
        <%= f.number_field :year %>
    </div>
    <div class="actions">
        <%= f.submit %>
    </div>
    <%= f.fields_for :dues do |builder| %>
        <%= render 'due_fields', :f => builder %>
    <% end %>
  <% end %>

ค่าใช้จ่าย / _due_fields.html.erb

<div>
    <%= f.label :amount, "Amount" %>        
    <%= f.text_field :amount %>
    <br>
    <%= f.label :person_id, "Renter" %>
    <%= f.text_field :person_id %>
</div>

อัปเดตไปที่ bill_controller.rb ซึ่งได้ผล!

def bill_params 
  params
  .require(:bill)
  .permit(:company, :month, :year, dues_attributes: [:amount, :person_id]) 
end

ฟิลด์ที่ถูกต้องจะแสดงบนเพจ (แม้ว่าจะยังไม่มีเมนูแบบเลื่อนลงPerson) และการส่งจะสำเร็จ อย่างไรก็ตามไม่มีการบันทึกค่าธรรมเนียมลูกใด ๆ ลงในฐานข้อมูลและมีข้อผิดพลาดเกิดขึ้นในบันทึกของเซิร์ฟเวอร์:

Unpermitted parameters: dues_attributes

ก่อนเกิดข้อผิดพลาดบันทึกจะแสดงสิ่งนี้:

Started POST "/bills" for 127.0.0.1 at 2013-04-10 00:16:37 -0700
Processing by BillsController#create as HTML<br>
Parameters: {"utf8"=>"✓", 
"authenticity_token"=>"ipxBOLOjx68fwvfmsMG3FecV/q/hPqUHsluBCPN2BeU=",
 "bill"=>{"company"=>"Comcast", "month"=>"April ", 
"year"=>"2013", "dues_attributes"=>{
"0"=>{"amount"=>"30", "person_id"=>"1"}, 
"1"=>{"amount"=>"30", "person_id"=>"2"},
 "2"=>{"amount"=>"30", "person_id"=>"3"}}}, "commit"=>"Create Bill"}

มีการเปลี่ยนแปลงใน Rails 4 บ้างหรือไม่?

ดูเหมือนว่าจะมีการเปลี่ยนแปลงในการจัดการการป้องกันแอตทริบิวต์และตอนนี้คุณต้องเพิ่มพารามิเตอร์รายการที่อนุญาตพิเศษในคอนโทรลเลอร์ (แทนที่จะเข้าถึง attr_accessible ในโมเดล) เนื่องจากอัญมณีที่เป็นอุปกรณ์เสริมในอดีตได้กลายเป็นส่วนหนึ่งของ Rails Core

สิ่งนี้ควรมีลักษณะดังนี้:

class PeopleController < ActionController::Base
  def create
    Person.create(person_params)
  end

private
  def person_params
    params.require(:person).permit(:name, :age)
  end
end

ดังนั้นparams.require(:model).permit(:fields)จะใช้

และสำหรับแอตทริบิวต์ที่ซ้อนกันเช่น

params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])

สามารถดูรายละเอียดเพิ่มเติมบางส่วนได้ในเอกสารRuby edge APIและstrong_parameters บน githubหรือที่นี่

จากเอกสาร

To whitelist an entire hash of parameters, the permit! method can be used

params.require(:log_entry).permit!

แอตทริบิวต์ที่ซ้อนกันอยู่ในรูปแบบของแฮช ในแอปของฉันฉันมีโมเดล Question.rb ยอมรับแอตทริบิวต์ที่ซ้อนกันสำหรับโมเดล Answer.rb (โดยที่ผู้ใช้สร้างตัวเลือกคำตอบสำหรับคำถามที่เขาสร้าง) ใน questions_controller ฉันทำสิ่งนี้

  def question_params

      params.require(:question).permit!

  end

อนุญาตทุกอย่างในคำถามรวมถึงแอตทริบิวต์คำตอบที่ซ้อนกัน นอกจากนี้ยังใช้งานได้หากแอตทริบิวต์ที่ซ้อนกันอยู่ในรูปแบบของอาร์เรย์

ต้องบอกว่าฉันสงสัยว่าวิธีนี้มีปัญหาด้านความปลอดภัยหรือไม่เพราะโดยพื้นฐานแล้วอนุญาตให้ทุกสิ่งที่อยู่ในแฮชโดยไม่ต้องระบุว่ามันคืออะไรซึ่งดูเหมือนจะขัดกับวัตถุประสงค์ของพารามิเตอร์ที่ชัดเจน

หรือคุณสามารถใช้

def question_params

  params.require(:question).permit(team_ids: [])

end

จริงๆแล้วมีวิธีที่จะทำให้รายการพารามิเตอร์ที่ซ้อนกันทั้งหมดเป็นสีขาว

params.require(:widget).permit(:name, :description).tap do |whitelisted|
  whitelisted[:position] = params[:widget][:position]
  whitelisted[:properties] = params[:widget][:properties]
end

วิธีนี้มีข้อได้เปรียบเหนือโซลูชันอื่น ๆ อนุญาตให้อนุญาตพารามิเตอร์ที่ฝังลึก

ในขณะที่โซลูชันอื่น ๆ เช่น:

params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])

อย่า

ที่มา:

https://github.com/rails/rails/issues/9454#issuecomment-14167664

วันนี้ฉันเจอปัญหาเดียวกันนี้ในขณะที่ทำงานบนราง 4 ฉันสามารถทำให้มันทำงานได้โดยการจัดโครงสร้าง fields_for ของฉันเป็น:

<%= f.select :tag_ids, Tag.all.collect {|t| [t.name, t.id]}, {}, :multiple => true %>

จากนั้นในคอนโทรลเลอร์ของฉันฉันมีพารามิเตอร์ที่แข็งแกร่งของฉันเป็น:

private
def post_params
    params.require(:post).permit(:id, :title, :content, :publish, tag_ids: [])
end

ผลงานทั้งหมด!

หากคุณใช้ฟิลด์ JSONB คุณต้องแปลงเป็น JSON ด้วย. to_json (ROR)