Rails 为什么我都过滤了 new，create，还是能被别人发了垃圾信息？

Zoker · 2014年04月14日 · 最后由 zoker 回复于 2014年04月15日 · 3210 次阅读

先是 before_filter :authorize_post!, only: [:new, :create] 然后是

protected

def authorize_post!
   if @forum.id < 6
      redirect_to posts_url, alert: "此板块不允许发帖"
   elsif DateTime.parse(Time.now.to_s) - DateTime.parse(current_user.created_at.to_s) < 7
      unless Post.where("author_id = #{current_user.id} AND to_days(created_at) = to_days(now()) ").count < 5
        redirect_to posts_url, alert: "未满一周用户每天只能发5篇帖子"
      end
    end
end

我自己测试都没有问题，符合条件得都 redirect_to 我定义得地址了，但是为什么还是有人可以无穷无尽的发？

winnie #1 2014年04月14日

更新呢？

Zoker #2 2014年04月14日

#1 楼 @winnie 更新也需要么？没有限制更新会导致可以发很多？

billy #3 2014年04月14日

正常来说更新是不需要，因为更新需要现有的 id，没有 id 会出错。

可能 condition 有问题吧，最好多贴点具体细节。

Zoker #4 2014年04月14日

#3 楼 @billy 贴出来了。我自己测试是一切正常的，但是不知道别人是从哪个地方能发这么多的。

5swords #5 2014年04月14日

问题是 redirect_to 用在这里好不好，感觉还是先返回 true,false 会比较好，alert 放在暂存里。

redirect_to posts_url, alert: "此板块不允许发帖" if @forum.id < 6
is_new_user = Time.now < (current_user.created_at + 7.days)
today_posts_count = Post.where("author_id = ? AND created_at >= ?", current_user.id, Time.now.at_beginning_of_day).count if is_new_user
redirect_to posts_url, alert: "未满一周用户每天只能发5篇帖子" if is_new_user and today_posts_count >= 5
true