大垣さんのプレゼン資料に、バリデーションはコントローラで実施すべきで、そうしていないと欠陥としているのだけど、バリデーションをコントローラに書くかモデルに書くかはフレームワークの考え方によるもので、欠陥は言い過ぎではないかと思いましたが、どうでしょうか?
2013-07-08 17:24:07さきほどのプレゼン資料はこちら…「ActiveRecordを利用しない場合はバリデーションを行えない」ことを指して「欠陥」と言っているようにも読めますが… Rails4 Security http://t.co/zimFxK2GwE
2013-07-08 17:31:31「Rails4 のバリデーションは Controller」「Rails3 のバリデーションは Model」??? > RT
2013-07-08 17:44:55Rails4 も 3 も validation のロジックを書くところは Model で変わっておりませんが……
2013-07-08 17:47:14更新を許可するカラムの設定を Controller 側で指定できるようにしたというものであって、別にバリデーションの箇所の移動ではないんですが……
2013-07-08 17:52:33p20〜p30、strong parameters の仕様の説明がまるでデタラメなのですが。どうツッコめばいいやら > Rails4 Security on @slideshare http://t.co/Zf6BVX9qqg
2013-07-08 17:57:23Rails4 Security on @slideshare #railsrails4security岡山ruby会議 http://t.co/JEPMXSjyL9 // Strong Parameterの説明がおかしい。
2013-07-08 18:22:03@ockeghem バリデーションの昨日はActiveModelのものですし、ActiveRecordなしでバリデーションできます。また、バリデーションするのがコントローラかモデルかは考え方によると思います。
2013-07-08 19:07:47strong parametersはvalidationではないと思うんだけど(ドキュメントでも一切"validate/validation"という単語は出てこない)業界によって定義が違うのだろうか / “Rails4 Secur…” http://t.co/LcvfSBuXpu
2013-07-09 00:57:29このstrong_parametersまわりの説明は誤解を招きそう… / “Rails4 Security” http://t.co/nKhmInE9Ok
2013-07-09 11:21:36Railsで言うところの「バリデーション」とは別じゃないですかね・・・ RT @netwillnet このstrong_parametersまわりの説明は誤解を招きそう… / “Rails4 Security” http://t.co/ibeMbctkEN
2013-07-09 11:26:36strong_parameters があれば入力値チェックは完璧!って読めてしまえそうなのがまずそう。strong_parameters がやってるのは入力値の一部をフィルタリングすることだけなので、入力値内容のチェックは model で定義しないといけませんよ
2013-07-09 11:32:42書いた / “Strong Parameters の説明がバグっておられる件 - nappa_zzz's diary” http://t.co/EjClxhKbpj
2013-07-09 12:13:39Strong Parameters の役割について説明を書いてみました。バリデーションが Model か Controller かという話は誰かが補完してくれることを期待 > http://napp.. http://t.co/W4q1XMy8Ha
2013-07-09 12:22:27「バリデーションはController」を真に受けて、Rails の流儀に沿ってない(Modelのvalidatorを使わない)実装をする人が出てこないか不安……
2013-07-09 12:25:00明快な解説をありがとうございます>『大垣さんのRails4 Securityの発表資料のうち、Strong Parameters の説明は誤っております…』 Strong Parameters の説明がバグっておられる件 http://t.co/QCZT008s3R
2013-07-09 13:41:13岡山Ruby会議02のプレゼンテーション資料「Rials4 Security」 http://t.co/LfcaS8IRWO @yohgakiさんから が間違ってるってことなのかな http://t.co/TXG2PAxy7X
2013-07-09 14:21:55@ockeghem なんとかがきさんは、今回の件に限らずなのですが、「バリデーション要不要」と「セキュリティ対策要不要」を同一地平でとらえている事が多いような気がします。これら二つの要不要は直交する概念なのに。
2013-07-09 14:32:03@ockeghem あと蛇足ですが、ActiveRecord/ActiveModel は、Web の入力以外からも使用される(例:バッチ処理)部品なので、Controller に Strong Parameters が有る無しに関わらず、引き続きバリデーションはここにあるのです。
2013-07-09 14:36:22@yousukezan (1) Rails のバリデーションの説明としては大間違い (2) 昨年の Mass assignment vulnerability もあって、 Mass assignment 制御まわりを Model から Controller に移した てトコです。
2013-07-09 14:45:59べつに strong parameters がバリデーションかどうかはどうでもよくなってきたんですが、誤解がどんどん広まっていくのだけはちょっと……
2013-07-09 14:50:45