テクノロジー
2017年9月9日ストロングパラメーターについて
![](https://diveintocode.s3-ap-northeast-1.amazonaws.com/uploads/eye_catch/blog/54/TIPS_strong_parameter.png?X-Amz-Expires=600&X-Amz-Date=20240726T233216Z&X-Amz-Algorithm=AWS4-HMAC-SHA256&X-Amz-Credential=AKIAIWFR7K2KHQDYVHJA/20240726/ap-northeast-1/s3/aws4_request&X-Amz-SignedHeaders=host&X-Amz-Signature=aadd39ba1c7aeb78398d488571fad13e6d7ae52424aca55b7d1964fd3a905abf)
値の正当性についてチェックする仕組みである「ストロングパラメータ」について解説をします。
Ruby on Railsにおけるストンロングパラメーターとは?
今回は、値の正当性についてチェックする仕組みである「ストロングパラメータ」について解説をします。
ユーザから送信されるてくる不正な値を削ぎ落とすストロングパラメータとはRailsの中で具体的にどのような処理が行われているのでしょうか?
効果的に学習を進めるためのお役に立つことができましたら、幸いです。
ストロングパラメータ
ストロングパラメータはRails4.X.Xから導入された、 Web画面上から入力された値を安全に受け取る仕組み
です。
ストロングパラメータを実装する目的は、Webブラウザ上で手作業などで意図的にパラメータを書き換えられた際に、エラーとして弾くことができるようにするためです。
このように、書き換えられたくないカラムが書き換えられてしまうことを Mass Assignment脆弱性
と言います。
つまりストロングパラメータは、このMass Assignment脆弱性の対策ということです。
blogsコントローラのcreateアクションに以下のような記述があったことに気づきましたでしょうか?
(app/controllers/blogs_controller.rb
)
def create
@blog = Blog.new(blog_params)
end
#省略
これはblogsコントローラのcreateアクション内にて、blog_paramsメソッドを実行した結果、
(app/controllers/blogs_controller.rb
)
def blog_params
params.require(:blog).permit(:title, :content)
end
をnew()メソッドの引数として使い、Blogモデルのインスタンスを生成して、変数に格納しています。
この blog_paramsメソッドがストロングパラメータと呼ばれる仕組みを実現しているメソッドです。
(app/controllers/blogs_controller.rb
)
params.require(:blog).permit(:title, :content)
ここで上記の記述は、 name=blog[title]
と name=blog[content]
の値を受け取ることを許可するというものです。
:blog
は blog[]
のことです。
:title
や :content
は [title]
や [content]
のことです。
つまり以下の記述は、 リクエスト上にあるパラメータのうち :blog というキーを持ち、 :title と :content というキーを持つハッシュ形式であること
を確かめます。
(app/controllers/blogs_controller.rb
)
params.require(:blog).permit(:title, :content)
実際にコンソール上で値をチェックすると、このようになっています。
新たなカラムを追加した場合などパラメータの許可をするのを忘れてデータが保存できないこともよくあります。上の画像の中でUnpermitted parameter: content
というように許可されていないパラメータがあるよというようにログが出力されるのでデータの保存ができない場合はチェックしてみましょう。
以上でストロングパラメータに関しての説明を終了します。
セキュリティを守る上で大切な仕組みであるので、今回で理解を深めていただけましたら幸いです。
■オンラインプログラミング学習サービス DIVER Learningsはこちら