Rails4 の Strong Parameters とバリデーション論争私的まとめ

willnet @netwillnet

このstrong_parametersまわりの説明は誤解を招きそう… / “Rails4 Security” http://t.co/nKhmInE9Ok

yuichi @uzuki05

Railsで言うところの「バリデーション」とは別じゃないですかね･･･ RT @netwillnet このstrong_parametersまわりの説明は誤解を招きそう… / “Rails4 Security” http://t.co/ibeMbctkEN

willnet @netwillnet

strong_parameters があれば入力値チェックは完璧！って読めてしまえそうなのがまずそう。strong_parameters がやってるのは入力値の一部をフィルタリングすることだけなので、入力値内容のチェックは model で定義しないといけませんよ

徳丸 浩 @ockeghem

私のメールアドレス 'or'1'='1'--@ tokumaru. org をバリデーションで弾くべきかと言う議論はありそうですね。 RFC準拠のメールアドレスだから通すべしという意見と、SQLインジェクション攻撃に使えるから弾くべしという意見…私は前者を支持します

まいるどきゃっと @sanftekatze

ケータイのメアドでこんな感じのよく見かけるし、バリデーションどこまで追加すればいいのか考えなければいけない事を考えると、わざわざバリデーションする気は起きないなあ。 https://t.co/zXBjbxttiY

おごちゃん™ / 開発費欲しい @ogochan

誰かつっこんでやってくれ > Rails4のStrong Parametersはコントローラに置かれたバリデータなのか? http://t.co/5kIuep4LIq

吉政　忠志 @_yoshimasa

@d6rkaiz 当委員会の発行資料ではないので、査読は致しません。あくまで、関連の参考情報として告知支援いたしました。

d6rkaiz @d6rkaiz

@_yoshimasa それならば最初からそれで終わっていたのではないですか？

吉政　忠志 @_yoshimasa

@d6rkaiz そうですね。大変失礼いたしました

DROBUNE @drobune

モデルには書かなくてもいいと思ってた...RT @netwillnet: strong_parameters があれば入力値チェックは完璧！って読めてしまえそうなのがまずそう。...は入力値の一部をフィルタリングすることだけなので、入力値内容のチェックは model で...

徳丸 浩 @ockeghem

G+のプロフィールに公開していますが、今のところスパムは来ていないです RT @kazuho: @ockeghem 話ずれるんですが、そういうアドレスだとスパム少なかったりします？

八木の野郎 @yagi_

素朴な理解では、Rails4のStrong ParametersはMass-assignment対策のための検証だからそこは別にいいんでない？

d6rkaiz @d6rkaiz

先のスライドの作者大垣さんのコメントが公開設定になったようだ。 https://t.co/JskzCuQvCs

山崎良祐 / Ryosuke Yamazaki @nappa

書いた / “Strong Parameters の説明がバグっておられる件 - nappa_zzz's diary” http://t.co/EjClxhKbpj

山崎良祐 / Ryosuke Yamazaki @nappa

Strong Parameters の役割について説明を書いてみました。バリデーションが Model か Controller かという話は誰かが補完してくれることを期待 > http://napp.. http://t.co/W4q1XMy8Ha

山崎良祐 / Ryosuke Yamazaki @nappa

「バリデーションはController」を真に受けて、Rails の流儀に沿ってない(Modelのvalidatorを使わない)実装をする人が出てこないか不安……

徳丸 浩 @ockeghem

えーん (>_<) RT @kenji_s: PHPのfilter_var()は通しますが、私ならたぶん弾きます(w RT @ockeghem: 私のメールアドレス 'or'1'='1'--@ tokumaru. org をバリデーションで弾くべきかと言う議論はありそうですね…

ネコ物質(38d)₁₆ @azumakuniyuki

'or'1'='1'--@自分のドメインなアドレスを徳丸さんの真似して作ってるしたまに使う

徳丸 浩 @ockeghem

ご迷惑をお掛けしてしまう可能性があるので、Webサービスでは怖くて登録できません (>_<) Gmailは、おk RT @crosslaboratory: @ockeghem @kazuho でもそのアドレスでは利用出来ないサービスがありそうですねw

Yosuke HASEGAWA @hasegawayosuke

徳丸さんのメールアドレス、登録はできたのにログインするときに他人でログインしてしまう、とかありえそう。

山崎良祐 / Ryosuke Yamazaki @nappa

@sAnOpAn 結論からいうと、Strong Parameters と Model での validates〜 の両方必要です。解説を書いてみましたのでご覧ください http://t.co/RBCballoF8

DROBUNE @drobune

ありがとうございます！理解しました。RT @nappa: @sAnOpAn 結論からいうと、Strong Parameters と Model での validates〜 の両方必要です。解説を書いてみましたのでご覧ください http://t.co/oPogIF1H73

山崎良祐 / Ryosuke Yamazaki @nappa

@sAnOpAn それはよかったです。文章に読みにくいところや、わかりづらいところがあれば、遠慮なく指摘してください!!