绕过 attr_accessible/受 Rails 保护

Question

我有一个模型，当它实例化一个对象时，还会创建另一个具有相同用户 ID 的对象。

class Foo > ActiveRecord::Base

after_create: create_bar

private

def create_bar
  Bar.create(:user_id => user_id #and other attributes)
end

end

在 Bar.rb 中，我有 attr_protected 来保护它免受黑客攻击。

class Bar > ActiveRecord::Base
  attr_protected :user_id, :created_at, :updated_at
end

就目前情况而言，如果不禁用 attr_protected 或将 Bar 对象的 user_id 设为空白，我似乎无法创建新的 Bar 对象...

如何让 bar 对象接受来自 foo 的 :user_id 属性而不失去 attr_protected 的保护？

Answer 1

当调用

new

、

create

或

find_or_create_by

（以及任何其他最终调用

new

）时，您可以传递一个附加选项

without_protection: true

。

Answer 2

尝试做：

def create_bar
  bar = Bar.build(... other params ...)
  bar.user_id = user_id
  bar.save!
end

Answer 3

attr_protected

过滤

attributes=

中调用的

new

方法中的属性。您可以通过以下方式解决您的问题：

def create_bar
  Bar.new( other attributes ) do |bar|
    bar.user_id = user_id
    bar.save!
  end
end