问题描述
二刷的时候做作业, 完成edit的功能后, 在"测试"过程发现用类似
http://localhost:3000/groups/13/posts/19/edit
这样找到ID的情况下, 能走后门的办法. 让账户B可改动账户A创建的文章, 而且, 走后门改动后, 属于A的post也变成属于B的post了, 创建人的变化导致在account/post/index显示的post也一直变化.... 这次做作业的时候发现了 如何不让走后门改动的文章的创建人从A也变成B
部分解决办法
办法就是 别加
@post.user = current_user
这条代码在create的定义中时能锚定创建人是哪个. 在update的定义中, 加这个就会导致"走后门改动"的同时,创建人也改动成current user了...
剩下的问题
虽然解决了创建人变动的问题, 但是...就算在controller里面加入了参考教材5.5的限制条件, 也无济于事...还是能走后门改动...controller改动没有作用的话...
解决思路
现在怀疑...是不是model中也要动手脚, 毕竟算是data的问题, 限制条件写在model中才能真正的阻止, 光在controller里面写是不够的. 参考了教程5.4后, 推测估计要新增一个column是user_id这样才能保障把user跟post链接起来? 不过, 之前创建post的model时...有设user的栏位啊...所以...到底...
或者是, 问题出在"记录谁是post的创建人"这个步骤没有写完善?(不太可能? 因为毕竟去掉@post.user=current_user后 创建人也没有再变动了, 所以创建人应该是被正确锚定的)
实操目的
推测是因为虽然有user_id这个栏位, 但是没有做好post跟user的链接工作, data间的关系没有在model里定义清晰, 所以导致的问题. 那么, 开始动手尝试这个猜测吧
Action!
First Round
自己推测是否因为数据链接不清晰, 导致不能正确抓取post的creator数据.
在model以及controller都不动的前提下, 直接去view里加一个显示栏位, 加了截图中的两个红框中的代码, 结论是抓取的数据是对的...
Second Round
嗯...那么推测是controller里的代码写的不妥
这个还要怎么改才能起到限定作用...开始尝试吧...
改成
if current_user =! @group.post.user
直接报错了...加一个group是错的...那...还要怎么表示"非post内容的创建人"不可改动啊啊啊
Third Round
不然...是routes的关系?嗯...感觉思路不太对...但是管他的, 玩起来
嗯, 加了也没有用, 还是可以从B走后门改动A创建的post内容...唉...
Fourth Round
再试! 应该是controller代码没写好...唉...如果再玩一小时还是没结论, 就四刷的时候再回头解决吧...
调整代码顺序也没有改变, 调整edit的位置 放到"new" "create"之间也没改变...B还是能改A创建的post内容
Final Try
搞定了...你猜猜什么问题...本来想说继续进攻controller, 接着改一下顺序吧, 想把
if current_user =! @post.user
改成
if @post.user =! current_user
试试看, 符号前后对象互相调换位置会啥效果, 正换位置呢, 却先发现...符号才是要调整的问题...我之前写的是
=!
其实应该是
!=
啊啊啊啊啊啊啊啊啊啊!!! 居然是这么吐血的简单拼写错误!!! "不等于"的符号改对了之后, 立马就搞定了
顺便一说, 改成if @post.user != current_user 前后对象互换也是能正常执行code的, 有点意思.
搞定!!! 8.3的课外作业在三刷的时候, 终于完整的搞定了.
