#2 楼 @luin 试用了一下，还不错，有两个问题

1. 代码没有高亮
2. 居然没有全文检索

不转不是中国人！

666 今天晚上就可以用这个来开发一个 asp 的项目！

TIOBE 的排名与其平均工资成反比

本片仅供学习交流使用，严禁用于商业用途，请于 24 小时内删除！

#11 楼 @besfan 五常西溪软件园里面

帮顶！大搜车就在我司对面，环境很不错！

#9 楼 @yfractal 好的，谢谢啦！

有新的公开课吗？我只看过一个很老的，估计是 90 年代的课程。。

"#{user_id.to_s(36)}#{SecureRandom.base58}"[0, 10]

这个肯定能保证唯一性吧，而且 code 也不会被轻易猜测出来

#47 楼 @embbnux 用 46 楼提到的 rails_param ，我就这样写

def index
  param! :sort, String, in: %w(created_at updated_at), default: "created_at"
  param! :order, String, in: %w(asc desc),  default: "asc"

  @posts = Post.order("#{params[:sort]} #{params[:order]}")
end

请教一下能忍的写法是怎样的？

#43 楼 @quakewang 我问大家 Rails 如何方便的做参数校验时，有人觉得我是奇葩，为什么会有这种想法，所以我才举出上面的例子。我并不是说 Rails 有安全性问题，我只是说大家很容易忽略 Get 请求的参数验证，事实上在 Rails 里做请求参数验证就是很不方便，上面已经有人举例子了。

接 #34 楼 @42thcoder 的例子，我再来举一个 Get 请求，不验证参数导致的安全性问题

我曾经见过不少新手都是这么写的 API 的原本意图是是可以按 created_at 或 updated_at 排序来取数据

# PostsController
def index
  @posts = Post.order("#{params[:sort]} #{params[:order]}")
end

如果 API 的调用者，故意给 sort 参数传了一个未加索引的字段，或者是一个 text 类型的字段，可以看看你们的数据库还能撑多久

#33 楼 @jicheng1014 #34 楼 @embbnux Post/Put 的请求是可以放在 model 层检验，Get 请求的参数你们都不校验对吧？ 我所强调的是安全性和性能，尽量把事情做到极致，如果你们觉得这两个都无所谓，那就争的没啥意思，毕竟价值观不一样。

#30 楼 @rei 请不要再拿 rubygems.org 这个项目为例来误导别人了，我前面已经举例说明了，它为什么不是一个好的例子

我说「吸烟有害健康」，你们却反驳说「张学良吃喝嫖赌活到了 103」，那我只能呵呵了

#31 楼 @embbnux 呵呵 难道你觉得验证参数是很愚蠢的行为吗？

#22 楼 @rei Rails 的一个核心思想是 CoC，所以在比如访问 /users/:id 页面的情况下，我相信大部分人写代码不会去验证参数 id 是否是 Integer 类型，而是直接 User.find(params[:id])，原因在于，大部分情况下用户访问 /users/23 这个页面都是通过链接点进去的，而不是自己手动输入，这种情况下 id 不存在或者格式有误的情况非常少

#18 楼 @rei 纯 API 项目和传统的 Web 项相比是有很大区别的，传统 web 项目可以自己控制请求参数，而且可以自己在页面用 JS 等方式验证数据格式。而 API 项目却不同，调用 API 的环境比较复杂，可能是 Web 端、移动端，或者是其他应用程序，这种情况下你就很难保证 API 的使用者在使用 API 时会先对参数进行严格校验，这种情况无论对于安全性还是服务器资源的利用都是不利的

举个最简单的登录的例子

user = User.find_by_email(params[:email])

如果不先对参数 email 进行校验，而实际上它是一个非法的 email 格式，那么这次数据库查询几乎就是浪费。 我说的这种情况在你所强烈推荐的 rubygems.org 项目中到处都是，所以我并不认为它是一个好的可以参考的例子！

关于 API 的设计，我推荐这篇文章 http://mp.weixin.qq.com/s?__biz=MzA3NDM0ODQwMw==&mid=208060670&idx=1&sn=ce67b8896985e8448137052b338093e0&scene=21#wechat_redirect

#19 楼 @42thcoder #20 楼 @pathbox

#15 楼 @jicheng1014 rails 做参数验证大多放到 model 层，这放到 API-Only 的项目可能不太实用，特别是一些 GET 请求。

#5 楼 @jicheng1014 请问用 rails-api 怎么做请求参数的校验？

#11 楼 @huacnlee 看 milestone 的进度是 96%，正式版应该快发布了

做项目我会选择 AR，各种插件丰富，遇到问题也容易搜索，migration 也可以脱离 Rails 使用。 写数据脚步什么的，我会用 Sequel，比较直接，感觉用起没有 AR 那么多潜在的规则要求

#13 楼 @tony612 其实也可以直接把搭好的系统环境直接做成一个 image，需要加新机器的时候，直接用这个 image 就可以

#4 楼 @night_7th 单 redis 实例 是可以支持多 db 的，但是你们用了中间层，不知道是否支持多 db。二楼的意思是你可以把 sidekiq 的 db 和 session 的 db 分开，这样可以避免 key 的冲突。

#3 楼 @night_7th rpop 是非阻塞命令，当然可以调用，但是对于 sidekiq 来说，把 brpop 改成 rpop 当然有问题，具体你可以看一下二者的区别

1.用同一个 Redis 是没问题的，只要注意 key 别冲突了就行 2.brpop 是对客户端阻塞的，我猜你们公司的分布式 Redis 是用了中间层代理吧，连到 Redis 上的是中间代理层，而客户端是连接到代理层的，所以不太好实现。其实要实现阻塞也是有办法的，比如为阻塞的命令建立特定的连接。

有用！每次升级，我都担心少了什么配置

说实话 Rails 的 Devops 工具还挺完整的，我试过 Docker，感觉反而还不如 mina 来的方便

Rails 5 Beta 3 已经在用了，目前未发现什么问题

王婆卖瓜

👍 腾讯云的 CDN 还能加速国外的资源？

第一眼以为是大众迈腾，准备进来黑的，结果发现是迈思腾