私はgyms
とreviews
を持つレールサイトを構築しています。私は、ユーザーがジムのレビューを残すことができるようにしたいと思います。私は私のテーブルは今(つまり、管理者のことだとして、することはできませんCRUDジム)ジムコントローラが静的であるレールのネストされたリソース:コントローラとフォーム
class Gym < ActiveRecord::Base
has_many :pictures, as: :imageable
has_many :reviews
end
と
class Review < ActiveRecord::Base
belongs_to :user
belongs_to :gym
validates :body, presence: true, length: { maximum: 1000 }
validates :rating, presence: true
end
として設定しているとだけ情報/ wのページをレンダリング。私はレビューを追加しようとしていますが、私は関連を混乱させたくありません。ここに私のジムコントローラ情報
class GymsController < ApplicationController
before_action :logged_in_user, only: [:index, :edit, :update, :destroy]
before_action :correct_user, only: [:edit, :update]
def index
@q = Gym.ransack(params[:q])
@gyms = @q.result
@other_gyms = Gym.all
if @gyms.to_a.count < 1
flash[:warning] = "No gym matched #{params[:q][:name_or_phone_number_or_city_or_zip_code_cont]}"
end
end
def new
@gym = Gym.find(params[:id])
@review = @gym.review.new
end
def create
@gym = Gym.find(params[:id])
@review = @gym.reviews.build(gym_params)
if @review.save
flash[:success] = 'Review Saved'
redirect_to :back
else
render 'new'
end
end
def show
@gym = Gym.find(params[:id])
@reviews = @gym.reviews
end
private
def gym_params
params.require(:gym).permit(:name, :description, :address, :address_2, :zip_code,
:phone_number, :website_url, :city, :state, :latitude, :longitude,
review_attributes: [:user_id, :rating, :body, :gym_id])
end
def logged_in_user
unless logged_in?
store_location
flash[:danger] = 'Please log in'
redirect_to login_url
end
end
def correct_user
@user = User.find(params[:id])
redirect_to(root_url) unless current_user?(@user)
end
end
私のルート
resources :gyms, only: [:index, :show] do
resources :reviews
end
やジム/新しい私が審査フォーム
を持ってgyms/:id/reviews
を指すジム/ link_to
を示しています
<%= form_for [@gym, @review] do |f| %>
<%= f.label :rating, 'Select your rating' %>
<div id='ratyRating'></div><br>
<%= f.text_area :body, size: '100x10' %>
<%= f.hidden_field :user_id, value: current_user.id %>
<%= f.submit 'Post', class: 'btn btn-gen' %>
<% end %>
thは動作しません。 link_toボタンからインデックスページであるgyms/:id/reviews
に向かいます。私はこれを行うもっと良い方法があるように感じる。誰かが私がここで間違っていることを見ていますか?
あなたの 'correct_user'フィルタがユーザを取得するのを間違っています'params [:id]'のidです。 'flash [:warning] =" {params [:q] [:name_or_phone_number_or_city_or_zip_code_cont]} "はジムにマッチしませんでした" "は、パラメータをエコーバックしているため、ユーザを注射の脆弱性にさらします。 – max
それをキャッチするために感謝!私は今まで知らなかった。あなたはもっと詳しく説明できますか? –
http://guides.rubyonrails.org/security.html#cross-site-scripting-xss – max