SafeERBプラグイン - Ruby on Rails プラグインまとめ wiki - atwiki（アットウィキ）

Ruby on Rails プラグインまとめ wiki

Ruby on Rails プラグインまとめ wiki

いづれも実際に自分で買ったもので、オススメなものです。

Ruby on Railsを覚えるならコレです。

Ruby on Rails入門優しいRailsの育て方

慣れないとちょっと難しいRailsの運用まで書かれているのはコレです。

ライド・オン・Rails Ruby on Railsを徹底攻略

Rubyの文法や突っ込んだ仕組みが知りたければコレです。

プログラミングRuby 第2版言語編

プラグイン名

SafeERBプラグイン

このプラグインができること

ERBテンプレートで、<%= ar.hoge %>など、DBや入力パラメータ由来の文字に対して、サニタイズを忘れていたときに例外を出してくれる

ちょー簡単な使い方

./script/plugin install http://safe-erb.rubyforge.org/svn/plugins/safe_erb

これだけ。簡単。

公式ページ

Safe ERB in Ruby on Rails

日本語解説ページ

ないねぇ。を、Ruby札幌の資料があったか。

外国語解説ページ

SafeErb for Rails 2

のうはう

例外を出すかどうかはtaintという機能(? フラグ?)を使っている
DBや入力パラメータ由来の文字はtaint状態になっていて、手動でコレを解除するにはstring.untaintとすればよい
SafeERBプラグインではERB::Util#h(<%=h ar.hoge %>みたいなやつ)とActionView::Helpers::TextHelper#strip_tags(<%= ar.hoge.strip_tags %>みたいなやつ)を拡張しているので、これを使ったときには自動的にuntaintが呼ばれるので例外が発生しない

コメント

「SafeERBプラグイン」をウィキ内検索

最終更新：2008年10月09日 09:12