Ne radim u Railsu, pa ne mogu da procenim koliko je ovo rasprostranjen propust, ali u PHP svetu bih ja ovo smatrao jako amaterskim... da dozvolis da ti neko injectuje properties u model tako sto updejtujes sva prosledjena polja, bez provere, to je bas nedostatak razmisljanja o tome sta se desava u software-u i kako to moze da se zloupotrebi...
BTW, slicne mogucnosti ima i vecina PHP fw-ova, kao sto rece Webarto, tako da je sasvim moguce da i tu gomila ljudi ne proverava te stvari, koliko god mi to izgledalo neverovatno...
__________________
Leadership is the art of getting people to want to do what you know must be done.
|