
平台论坛博客文库

› 论坛 › 程序设计 › Java › Java文档中心 › Hackers Love Mass Assignment

Hackers Love Mass Assignment [复制链接]

peryt

白手起家

论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-05-20 10:09 |只看该作者 |倒序浏览

对于多个变量同时赋值，黑客比较喜欢利用这个特性进行攻击：
比如直接从一个表单中提取参数赋值个一个对象的各个属性，这样做的话，黑客可以通过curl命令来模拟提交表单的各个参数，而在其中加入为一些关键的属性赋值，例如admin=true, 这样黑客就可以获得管理员权限，从而破坏网站。
解决的方法是：
把那些关键属性添加一条命令：
attr_protected :admin
但是这种做法只能保护某一些属性，更好的做法也许是
attr_accessible :name
这种做法可以保证通过表单的mass assignment 只能为某一个属性赋值。

本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/25407/showart_1933410.html

文库|博客

返回列表

Chinaunix › 论坛 › 程序设计 › Java › Java文档中心 › Hackers Love Mass Assignment