このタグの記事 1 件
Railsは規約と安全な既定(CSRF保護・Strong Parameters・ORM)を備え、正しく使えば堅い。だが事故は運用で起きる。三大=(1)Strong Parametersを緩め過ぎてMass Assignment(is_admin等の想定外上書き)(2)認可の作り込み不足(ログイン=認証はあるが所有者スコープが無い)(3)gem(依存)の既知CVE。加えてwhereへの文字列連結によるSQLi、send/constantize等の危険な動的メソッド、credentials/secret_key_baseの漏えい。守り=permitを絞る・認可を明示・gemをCVE監視。