ruby - 轨道安全 : converting parameters to symbols for hash lookup-6ren

ruby - 轨道安全 : converting parameters to symbols for hash lookup

转载作者：数据小太阳更新时间：2023-10-29 07:36:16

25

4

我有一个常量散列，我在整个代码中都引用了这些常量，例如:

CATEGORIES = {
  business:  '1002',
  education:  '1003',
  entertainment:  '1004',
  # etc...
}

在我的一个 Controller 中，我需要通过参数测试类别的存在，所以通常我会做类似的事情:

CATEGORIES.has_key? params[:category].to_sym

然而，这似乎是对拒绝服务攻击的邀请，因为攻击者可以通过为 category 参数提供随机字符串来轻易地破坏 Ruby 符号表。

似乎最简单的解决方案是将 CATEGORY 键转换为字符串而不是符号:

CATEGORIES = {
  'business' =>  '1002',
  'education' =>  '1003',
  'entertainment' =>  '1004',
  # etc...
}

或者也许:

def self.valid_category(category_s)
   CATEGORIES.keys.any? { |key| key.to_s == category_s }
end

在 Rails 中是否有更好或更惯用的方法来做到这一点？

最佳答案

Is there a better or more idiomatic way to do this in Rails?

我见过的最常见的方法是您提供的第二种解决方案，即:

def self.valid_category(category_s)
  CATEGORIES.keys.any? { |key| key.to_s == category_s }
end

不过，我会将方法命名为 self.valid_category?。也许我也会将 category 变量上的 .to_s 移动到这个方法，比如:

def self.valid_category?(category)
  category = category.to_s
  CATEGORIES.keys.any? { |key| key.to_s == category }
end

关于ruby - 轨道安全 : converting parameters to symbols for hash lookup，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/16626179/

25

4

0

文章推荐： iphone - 如何检查 NSArray 在 iOS 中是否为空？

文章推荐： iphone - 如何检查字体在 iOS 版本中是否可用？

java - org.springframework.core.convert.ConverterNotFoundException : No converter found capable of converting from type Account to type AllAccount
我正在使用SpringBoot和JPA来调用db，我遇到异常 org.springframework.core.convert.ConverterNotFoundException: No conve
spring - org.springframework.core.convert.converter.Converter 给出错误 : Null can not be a value of a non-null type
我尝试实现 Spring Converter，但在单元测试中出现错误: Kotlin: Null can not be a value of a non-null type TodoItem 如果我尝
spring - org.springframework.core.convert.ConverterNotFoundException : No converter found capable of converting from type to type [java. lang.String] - Redis
我在 Spring Boot 2.0 示例中使用 Spring Data Redis。在此示例中，我尝试将客户数据 + 学生数据保存在一起。我不太确定这里的数据建模是如何发生的，但假设它与 Mongo
java - Spring Webflow 绑定(bind) : Converter - java. lang.IllegalArgumentException : Each converter object must implement one of the Converter . .. 接口(interface)
我在 Spring 的 XML 配置文件之一中有以下代码:
java - Hibernate Converter + 在 Converter 中检索属性名
我们正在尝试使用 hibernate Converter 来加密/解密通过 hibernate 存储的几列数据 @Convert(attributeName="myattr",converter=Da
c# - Convert.TryToInt64 而不是 Convert.ToInt64？
我有this我必须实现的功能: protected override ValidationResult IsValid( Object value, ValidationContext
rust - 我应该什么时候实现 std::convert::From vs std::convert::Into？
我看到了 std::convert::Into有任何实现 std::convert::From 的实现: impl Into for T where U: From, 在Rust 1.0标准库
c# - Convert.ChangeType 或 Convert.ToInt32 之间的主要区别是什么？
Convert.ChangeType 或 Convert.ToInt32 或 int.Parse 之间是否存在性能优势最佳答案如果您知道要将 string 转换为 Int32，使用 Convert
bash - 将通配符与 "convert"一起使用。或者 "convert"ing 一组文件
我会定期浏览我的家庭作业以供上课。我的扫描仪将原始 jpg 文件导出到 USB，然后我可以从那里使用 gimp 编辑文件并将其另存为 pdf。我发现一种节省时间的方法是将我的多页作业导出为 .mng
json - Grails在BootStrap中注册了一个DateMarshaller，引发了异常，即rails.converters.JSON无法转换为grails.converters.XML
Grails版本:2.3.8我在BootStrap.groovy中注册了一个自定义日期编码器，但是当我使用日期填充为Json的Object时，它将引发异常:Exception message is C
bash - 将通配符与 "convert"一起使用。或者 "convert"ing 一组文件
我会定期浏览我的家庭作业以供上课。我的扫描仪将原始 jpg 文件导出到 USB，然后我可以从那里使用 gimp 编辑文件并将其另存为 pdf。我发现一种节省时间的方法是将我的多页作业导出为 .mng
swift - 使用转换(_ :to:) or convert(_:from:) to convert a node's position to another's
我正在尝试制作一个 SKAction，以便我的玩家慢慢地被拉向一个要杀死他的敌人。实际上，问题在于玩家和敌人处于不同的节点，遵循以下层次结构: 场景(SKScene)-PARENT->播放器(SKNo
Spring 数据mongodb : access default POJO converter from within custom converter
我通过 xml 设置了 spring data mongo 自定义转换器，如下所示在自定义读/写转换器中，我想
ruby-on-rails - 我得到这个 "Error while running convert: sh: convert: command not found"
我正在尝试使用名为 Simple Captcha 的 gem 这需要在机器上安装 ImageMagick。我已经安装了它并且 convert --version 显示了这个 Version: Imag
ruby-on-rails - 我得到这个 "Error while running convert: sh: convert: command not found"
我正在尝试使用名为 Simple Captcha 的 gem 这需要在机器上安装 ImageMagick。我已经安装了它并且 convert --version 显示了这个 Version: Imag
java - Spring JPA native 查询调用存储过程给出 “No converter found capable of converting from type”
我正在使用 Spring JPA，我需要有一个 native 查询来调用存储过程。从结果中，我只需要获取两个字段，即代码和消息。我创建了一个包含两个字段代码和消息的类。它不起作用，这是我收到的错误:
java - org.apache.camel.NoTypeConversionAvailableException : No type converter available to convert from type:
我首先有多部分文件，我想将其发送到camel管道并使用原始名称保存该文件。我的代码: @Autowired ProducerTemplate producerTemplate; ...
java - 为什么.NoSuchMethodError : org. springframework.core.convert.converter.ConverterRegistry.addConverter
我的maven项目使用了spring、hibernate。我得到“没有这样的方法错误”。我相信这是由于依赖项中的版本冲突造成的，但不知道是什么。构建成功。但是在“NetBeans:在 GlassFis
java - Vaadin 8 Converter 的行为与 Vaadin 7 Converter 不同(不更新 UI)？
TL;DR:Vaadin 8 中是否有类似于 Vaadin 7 的转换器来更新 UI 中输入字段的表示？ IE。在输入字段失去焦点后立即从用户输入中删除所有非数字，或将小数转换为货币？ Vaadin
c# - 表达式.Convert : Object of type 'System.Int64' cannot be converted to type 'System.Int32'
我昨天问了一个问题here关于从匿名对象读取属性并将它们写入类的私有(private)字段。问题解决了。这是一个小故事: 我有一些 json 格式的数据。我将它们反序列化为 ExpandoObject

首页

博学

6Ren·AI

商城

ruby - 轨道安全 : converting parameters to symbols for hash lookup