瞎扯淡 为什么相比 mass assignment, sql injection 很多人都会注意
rails 里大家写 sql 查询时都会注意 sql injection 这个问题,但为什么 mass assignment 一直没得到太大关注呢?rails casts 早在 07 年就谈到这个问题阿。很不理解!
SQL injection 当年由微软 ASP 的漏洞给全世界程序员普及了一遍。这次 rails 开发者也学了一课。真实世界的案例总是能起到更好的教育作用,虽然总是伴随着血淋淋的教训。