ネストされた属性の許可されていないパラメーター
Billオブジェクトがあり、これには多くのDueオブジェクトがあります。 DueオブジェクトもPersonに属します。 Billとその子Duesをすべて1ページで作成できるフォームが必要です。 this Railscast の属性と同様に、ネストされた属性を使用してフォームを作成しようとしています。
関連するコードは次のとおりです。
due.rb
class Due < ActiveRecord::Base
belongs_to :person
belongs_to :bill
end
bill.rb
class Bill < ActiveRecord::Base
has_many :dues, :dependent => :destroy
accepts_nested_attributes_for :dues, :allow_destroy => true
end
bills_controller.rb
# GET /bills/new
def new
@bill = Bill.new
3.times { @bill.dues.build }
end
bills/_form.html.erb
<%= form_for(@bill) do |f| %>
<div class="field">
<%= f.label :company %><br />
<%= f.text_field :company %>
</div>
<div class="field">
<%= f.label :month %><br />
<%= f.text_field :month %>
</div>
<div class="field">
<%= f.label :year %><br />
<%= f.number_field :year %>
</div>
<div class="actions">
<%= f.submit %>
</div>
<%= f.fields_for :dues do |builder| %>
<%= render 'due_fields', :f => builder %>
<% end %>
<% end %>
bills/_due_fields.html.erb
<div>
<%= f.label :amount, "Amount" %>
<%= f.text_field :amount %>
<br>
<%= f.label :person_id, "Renter" %>
<%= f.text_field :person_id %>
</div>
bills_controller.rbへの更新これは動作します!
def bill_params
params
.require(:bill)
.permit(:company, :month, :year, dues_attributes: [:amount, :person_id])
end
適切なフィールドがページにレンダリングされ(Personのドロップダウンはまだありませんが)、送信は成功します。ただし、子会費はいずれもデータベースに保存されず、サーバーログにエラーがスローされます。
Unpermitted parameters: dues_attributes
エラーの直前に、ログはこれを表示します:
Started POST "/bills" for 127.0.0.1 at 2013-04-10 00:16:37 -0700
Processing by BillsController#create as HTML<br>
Parameters: {"utf8"=>"✓",
"authenticity_token"=>"ipxBOLOjx68fwvfmsMG3FecV/q/hPqUHsluBCPN2BeU=",
"bill"=>{"company"=>"Comcast", "month"=>"April ",
"year"=>"2013", "dues_attributes"=>{
"0"=>{"amount"=>"30", "person_id"=>"1"},
"1"=>{"amount"=>"30", "person_id"=>"2"},
"2"=>{"amount"=>"30", "person_id"=>"3"}}}, "commit"=>"Create Bill"}
Rails 4に変更がありましたか?
以前のオプションのgem strong_parametersはRails Coreの一部になったため、属性保護の処理に変更があるようです。
これは次のようになります。
class PeopleController < ActionController::Base
def create
Person.create(person_params)
end
private
def person_params
params.require(:person).permit(:name, :age)
end
end
したがって、params.require(:model).permit(:fields)が使用されます
そして、ネストされた属性のようなもの
params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])
詳細は Ruby Edge APIドキュメント および githubのstrong_parameters または here にあります。
ドキュメントから
To whitelist an entire hash of parameters, the permit! method can be used
params.require(:log_entry).permit!
ネストされた属性はハッシュ形式です。私のアプリでは、Answer.rbモデルのネストされた属性を受け入れるQuestion.rbモデルがあります(ユーザーは、作成した質問の回答選択肢を作成します)。 questions_controllerで、私はこれを行います
def question_params
params.require(:question).permit!
end
ネストされた回答属性など、質問ハッシュのすべてが許可されます。これは、ネストされた属性が配列の形式の場合にも機能します。
そうは言っても、このアプローチにはセキュリティ上の懸念があるのではないかと思います。基本的には、ハッシュの内容を正確に指定せずにハッシュ内にあるものをすべて許可するためです。
または、単に使用することができます
def question_params
params.require(:question).permit(team_ids: [])
end
実際には、すべてのネストされたパラメーターをホワイトリストに登録する方法があります。
params.require(:widget).permit(:name, :description).tap do |whitelisted|
whitelisted[:position] = params[:widget][:position]
whitelisted[:properties] = params[:widget][:properties]
end
この方法には、他のソリューションに勝る利点があります。 これは、深くネストされたパラメーターを許可します。
のような他のソリューション:
params.require(:person).permit(:name, :age, pets_attributes: [:id, :name, :category])
しないでください。
ソース:
https://github.com/Rails/rails/issues/9454#issuecomment-14167664
今日、Rails 4の作業中に同じ問題に出くわしました。fields_forを次のように構造化することで機能させることができました。
<%= f.select :tag_ids, Tag.all.collect {|t| [t.name, t.id]}, {}, :multiple => true %>
次に、コントローラーに次のような強力なパラメーターがあります。
private
def post_params
params.require(:post).permit(:id, :title, :content, :publish, tag_ids: [])
end
すべての作品!
JSONBフィールドを使用する場合、.to_json(ROR)でJSONに変換する必要があります