新手问题 让 user 关联 record

tonytonyjan · 2012年11月26日 · 最后由 fengzhiquxiang 回复于 2015年03月06日 · 1853 次阅读

在 controller 里面各位会选择这样写:

def new
  @post = current_user.posts.build
end

然后在 form 里面加个 hidden input

或者

def create
  @post = current_user.posts.build(params[:post])
end

只是好奇:)

应该推荐第二种吧 第一种存在安全隐患,比如手动修改表单隐藏字段 user_id,这样就可以操作其它用户的资源了

@post = current_user.posts.build 这个是怎么实现的,怎么看 rails 源码?

需要 登录 后方可回复, 如果你还没有账号请 注册新账号