Discussion :

[geforce]

Hello

Dans Rails, quelle est la différence entre attr_accessor et attr_accessible? De ma compréhension, en utilise attr_accessor pour créer des méthodes getter et setter pour cette variable, Alors que attr_accessible rend cette variable accessible spécifiquement au monde extérieur.

Quelqu'un peut-il s'il vous plaît me dire ce qui est la différence.

[Madmac]

Hello

Dans Rails, quelle est la différence entre attr_accessor et attr_accessible? De ma compréhension, en utilise attr_accessor pour créer des méthodes getter et setter pour cette variable, Alors que attr_accessible rend cette variable accessible spécifiquement au monde extérieur.

Quelqu'un peut-il s'il vous plaît me dire ce qui est la différence.

Avec attr_accessor, Ruby écrit pour toi les methodes getter et setter. Mais tu peux choisir de lui faire écrire seulement les getter ou seulement les setteur.


Shortcut Effect
attr_reader :v def v; @v; end
attr_writer :v def v=(value); @v=value; end
attr_accessor :v attr_reader :v; attr_writer :v
attr_accessor :v, :w attr_accessor :v; attr_accessor :w

Par exemple, imagine que tu veux t'assurer de n'avoir que des valeurs entre 1 et 20. Tu devra donc écrire toi-même ton setter. Il est donc préférable de n'utiliser attr_writer.

Dans la plupart beaucoup de cas, tu peux être forcer d'utiliser attr_accessor. Et cela peux ouvrir la porte a du piratage, puisque le programme n'exerce aucune forme de contrôle. Imagine tu as un formulaire qui identifie le modèle de blouse et la couleur. Mais que l'objet qui va stocker c'est information contient également le prix. Et que ce prix obtenue a partir d'une base de donnée.

Par erreur, le programmeur qui a fait un formulaire a utiliser un get au lieu d'un put. Et qu'un hackeur utilise cet erreur pour transforme la réponse de ton formulaire qui était : Order.new({ :type => 'blouse', :couleur => 6 }) en Order.new({ :type => 'blouse', :couleur => 6, :prix => 1.00 }). Avec la methode attr_accessible? il est possible d'empêcher ce genre d'attaque.

Attention a partir de la version 4, cette pratique devient obsolète. Strong parameter devient la norme! Avec ce modèle les controlleurs sont un peu différent

ancien modèle

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
# model
class User < ActiveRecord::Base
  attr_accessible :username
end

# controller
def create
  User.create!(params[:user])
end

Nouveau modèle

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
# model
class User < ActiveRecord::Base
end
 
# controller
def create
  User.create!(params.require(:user).permit(:username))
end

Donc les accesseurs ne sont plus directement produit par Ruby, mais par Rails. Ce qui permet de spécifier si les variable peuvent être initialiser par un formulaire.

http://edgeapi.rubyonrails.org/class...arameters.html
https://stackoverflow.com/questions/...sed-in-rails-4