วิธีการอนุญาตให้อาร์เรย์มีพารามิเตอร์ที่แข็งแกร่ง


269

ฉันมีแอพพลิเคชั่น Rails 3 ที่ใช้งาน has_many: ผ่านการเชื่อมโยงที่ไม่ได้เป็นเมื่อฉันสร้างมันใหม่เป็นแอพ Rails 4 ทำให้ฉันประหยัดรหัสจากโมเดลที่เกี่ยวข้องใน Rails 4

เหล่านี้เป็นรุ่นที่เกี่ยวข้องสามแบบสำหรับสองรุ่น

Categorization.rb

class Categorization < ActiveRecord::Base

  belongs_to :question
  belongs_to :category
end

Question.rb

has_many :categorizations
has_many :categories, through: :categorizations

Category.rb

has_many :categorizations
has_many :questions, through: :categorizations

ในทั้งสองแอพรหัสหมวดหมู่จะถูกส่งผ่านไปยังการสร้างแอคชั่นเช่นนี้

  "question"=>{"question_content"=>"How do you spell car?", "question_details"=>"blah ", "category_ids"=>["", "2"],

ในแอพ Rails 3 เมื่อฉันสร้างคำถามใหม่มันจะแทรกเข้าไปในตารางคำถามแล้วลงในตาราง categorizations

 SQL (82.1ms)  INSERT INTO "questions" ("accepted_answer_id", "city", "created_at", "details", "province", "province_id", "question", "updated_at", "user_id") VALUES (?, ?, ?, ?, ?, ?, ?, ?, ?)  [["accepted_answer_id", nil], ["city", "dd"], ["created_at", Tue, 14 May 2013 17:10:25 UTC +00:00], ["details", "greyound?"], ["province", nil], ["province_id", 2], ["question", "Whos' the biggest dog in the world"], ["updated_at", Tue, 14 May 2013 17:10:25 UTC +00:00], ["user_id", 53]]
  SQL (0.4ms)  INSERT INTO "categorizations" ("category_id", "created_at", "question_id", "updated_at") VALUES (?, ?, ?, ?)  [["category_id", 2], ["created_at", Tue, 14 May 2013 17:10:25 UTC +00:00], ["question_id", 66], ["updated_at", Tue, 14 May 2013 17:10:25 UTC +00:00]]

ในแอพ Rails 4 หลังจากที่ประมวลผลพารามิเตอร์ใน QuestionController # สร้างฉันได้รับข้อผิดพลาดนี้ในบันทึกเซิร์ฟเวอร์

Unpermitted parameters: category_ids

และคำถามจะถูกแทรกลงในตารางคำถามเท่านั้น

 (0.2ms)  BEGIN
  SQL (67.6ms)  INSERT INTO "questions" ("city", "created_at", "province_id", "question_content", "question_details", "updated_at", "user_id") VALUES ($1, $2, $3, $4, $5, $6, $7) RETURNING "id"  [["city", "dd"], ["created_at", Tue, 14 May 2013 17:17:53 UTC +00:00], ["province_id", 3], ["question_content", "How's your car?"], ["question_details", "is it runnign"], ["updated_at", Tue, 14 May 2013 17:17:53 UTC +00:00], ["user_id", 12]]
   (31.9ms)  COMMIT

แม้ว่าฉันจะไม่ได้จัดเก็บ category_ids ในรูปแบบคำถาม แต่ฉันตั้งหมวดหมู่เป็นพารามิเตอร์ที่ได้รับอนุญาตใน

   def question_params

      params.require(:question).permit(:question_details, :question_content, :user_id, :accepted_answer_id, :province_id, :city, :category_ids)
    end

ใครสามารถอธิบายได้ว่าฉันควรจะบันทึก category_ids อย่างไร หมายเหตุไม่มีการสร้างการดำเนินการใน categories_controller.rb ของแอปทั้งสอง

นี่คือสามตารางที่เหมือนกันในทั้งสองแอพ

 create_table "questions", force: true do |t|
    t.text     "question_details"
    t.string   "question_content"
    t.integer  "user_id"
    t.integer  "accepted_answer_id"
    t.datetime "created_at"
    t.datetime "updated_at"
    t.integer  "province_id"
    t.string   "city"
  end

 create_table "categories", force: true do |t|
    t.string   "name"
    t.datetime "created_at"
    t.datetime "updated_at"
  end

  create_table "categorizations", force: true do |t|
    t.integer  "category_id"
    t.integer  "question_id"
    t.datetime "created_at"
    t.datetime "updated_at"
  end

ปรับปรุง

นี่คือแอคชั่นสร้างจากแอพ Rails 3

  def create
      @question = Question.new(params[:question])
      respond_to do |format|
      if @question.save
        format.html { redirect_to @question, notice: 'Question was successfully created.' }
        format.json { render json: @question, status: :created, location: @question }
      else
        format.html { render action: "new" }
        format.json { render json: @question.errors, status: :unprocessable_entity }
      end
    end
end

นี่คือแอคชั่นสร้างจากแอพ Rails 4

   def create
      @question = Question.new(question_params)

       respond_to do |format|
      if @question.save
        format.html { redirect_to @question, notice: 'Question was successfully created.' }
        format.json { render json: @question, status: :created, location: @question }
      else
        format.html { render action: "new" }
        format.json { render json: @question.errors, status: :unprocessable_entity }
      end
    end
    end

นี่คือเมธอด question_params

 private
    def question_params 
      params.require(:question).permit(:question_details, :question_content, :user_id, :accepted_answer_id, :province_id, :city, :category_ids)
    end

แอคชั่นการสร้างมีลักษณะอย่างไรในทั้งสองแอพ
bennick

@bennick ฉันได้เพิ่มการกระทำที่สร้างไว้สองรายการ ขอบคุณ
Leahcim

คำตอบ:


527

https://github.com/rails/strong_parametersนี้ดูเหมือนว่าส่วนที่เกี่ยวข้องของเอกสาร:

ประเภทสเกลาร์ที่อนุญาตคือสตริง, สัญลักษณ์, NilClass, ตัวเลข, TrueClass, FalseClass, วันที่, เวลา, วันที่, เวลา, StringIO, IO, ActionDispatch :: Http :: UploadFile และ Rack :: Test :: UploadFile

ในการประกาศว่าค่าในพารามิเตอร์ต้องเป็นอาร์เรย์ของค่าสเกลาร์ที่ได้รับอนุญาตจับคู่กุญแจกับอาร์เรย์ที่ว่าง:

params.permit(:id => [])

ในแอพของฉัน category_ids จะถูกส่งไปยังการสร้างแอคชันในอาร์เรย์

"category_ids"=>["", "2"],

ดังนั้นเมื่อประกาศพารามิเตอร์ที่แข็งแกร่งฉันกำหนดให้ category_ids เป็นอาร์เรย์อย่างชัดเจน

params.require(:question).permit(:question_details, :question_content, :user_id, :accepted_answer_id, :province_id, :city, :category_ids => [])

ทำงานได้อย่างสมบูรณ์แบบในขณะนี้!

( สำคัญ:เนื่องจาก @Lenart บันทึกในความคิดเห็นการประกาศอาร์เรย์จะต้องอยู่ท้ายรายการแอตทริบิวต์มิฉะนั้นคุณจะได้รับข้อผิดพลาดทางไวยากรณ์)


105
ฉันยังสังเกตเห็นว่าการประกาศสำหรับอาร์เรย์ควรจะอยู่ที่ส่วนท้ายของรายการคุณลักษณะ มิฉะนั้นฉันจะได้รับข้อผิดพลาดทางไวยากรณ์syntax error, unexpected ')', expecting =>
Lenart

45
เหตุผลในการประกาศอาเรย์ (params ซ้อนกัน) อยู่ท้ายที่สุดคือ ActionController :: Parameters.permit คาดว่าแต่ละอาร์กิวเมนต์จะเป็น Hash หรือ Symbol เมจิกรูบีจะเปลี่ยนคู่ของค่าคีย์ทั้งหมดในตอนท้ายของการเรียกเมธอดให้เป็นหนึ่งแฮช แต่รูบี้จะไม่รู้ว่าควรทำอย่างไรถ้าคุณผสมสัญลักษณ์กับคู่ของคีย์ / ค่าในการเรียกใช้เมธอด
Sameers

7
ถ้าcategory_idsไม่ใช่อาเรย์ (เช่นสตริงที่ถูกส่ง) รางจะไปโดยสิ้นเชิงและยกตัวERROR TypeError: expected Array (got String) for param `category_ids'นั่นคือข้อผิดพลาดในรางหรือไม่? แก้ไข: ใช่มันคือ: github.com/rails/rails/issues/11502
Dominik Goltermann

4
@ Lenart ขอบคุณฉันคิดว่าฉันบ้าไปแล้ว อย่างน้อยควรปรากฏใน strong_params README
Sebastialonso

3
@Lenart คุณสามารถเพิ่มเป็นแฮชได้หากคุณต้องการหลีกเลี่ยงข้อผิดพลาดทางไวยากรณ์ params.permit(:foo, { bar: [] }, :zoo).
สวนสัตว์ฟูบาร์

99

หากคุณต้องการอนุญาตให้มีแฮช (หรือan array of objectsจากมุมมองของ JSON)

params.permit(:foo, array: [:key1, :key2])

2 คะแนนเพื่อแจ้งให้ทราบที่นี่:

  1. arrayควรเป็นอาร์กิวเมนต์สุดท้ายของpermitวิธีการ
  2. คุณควรระบุคีย์ของแฮชในอาร์เรย์มิฉะนั้นคุณจะได้รับข้อผิดพลาดUnpermitted parameter: arrayซึ่งเป็นเรื่องยากมากที่จะทำการดีบักในกรณีนี้

และยังไม่รองรับอาร์เรย์ของอาร์เรย์ (ยัง): github.com/rails/rails/issues/23640
Andrei Dziahel

11
arrayไม่จำเป็นต้องสิ้นสุด แต่คุณต้องแน่ใจว่าคุณมี Ruby ที่ถูกต้อง params.permit(:foo, array: [:key1, :key2], :bar)จะไม่เป็นทับทิมที่ถูกต้องตามที่ล่ามคาดว่าจะมีรหัสแฮช: คู่ของค่าหลังจากชุดแรก ในการมีทับทิมที่ถูกต้องคุณต้องparams.permit(:foo, {array: [:key1, :key2]}, :bar)
mastaBlasta

คุณเป็นแชมป์!
Lollypop

22

มันควรจะเป็นเช่น

params.permit(:id => [])

นอกจากนี้ตั้งแต่ rails เวอร์ชัน 4+ คุณสามารถใช้:

params.permit(id: [])

12
โปรดอย่าว่าอาร์เรย์ควรเป็นอาร์กิวเมนต์สุดท้ายของวิธีการอนุญาต
Matias Elorriaga

3
hash syntax ที่คุณบอกว่าใช้กับ Rails v4 + จริง ๆ แล้วเป็น syntax ที่มีอยู่ใน Ruby 1.9 & newer ไม่ใช่เฟรมเวิร์ก Rails (แม้ว่า Rails 4 ต้องใช้ Ruby 1.9.3 หรือใหม่กว่า)
MegaTux

11

หากคุณมีโครงสร้างแฮชเช่นนี้:

Parameters: {"link"=>{"title"=>"Something", "time_span"=>[{"start"=>"2017-05-06T16:00:00.000Z", "end"=>"2017-05-06T17:00:00.000Z"}]}}

นี่คือวิธีที่ฉันได้มันไปทำงาน:

params.require(:link).permit(:title, time_span: [[:start, :end]])

6

ฉันยังไม่สามารถออกความเห็นได้ แต่ทำตามวิธีแก้ปัญหา Fellow Stranger คุณยังสามารถทำรังต่อไปได้ในกรณีที่คุณมีคีย์ที่ค่าต่างๆเป็นอาร์เรย์ แบบนี้:

filters: [{ name: 'test name', values: ['test value 1', 'test value 2'] }]

งานนี้:

params.require(:model).permit(filters: [[:name, values: []]])
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.