helper_method

Declare a controller method as a helper. For example,

helper_method :link_to

def link_to(name, options) … end

makes the link_to controller method available in the view.

课程遇到的如current_cart,current_user. 声明后,就可以在view里面使用这个method了。

finder method

find_by: 属于ActiveRecord提供的finder methods 之一。通过传递argument来在database中查找。

The find_by method finds the first record matching some conditions.

find_by!: 和find_by一样,但nill的话,会报错!ActiveRecord::RecordNoFound

find_by_id: find_by_id(params[:id]) ,估计这个用法不再使用了。

http://guides.rubyonrails.org/active_record_querying.html   有22以上中finder methods可用。

(Finder methods that return a collection,such as where and group, return an instance of ActiveRecord::Relation. Methods that find a single entity实体,such as find and first, return a single instance of the model)

session[]: 见http://guides.rubyonrails.org/action_controller_overview.html

详细解释:有整整一章http://guides.rubyonrails.org/security.html

简单说:翻译“一段会话”我的理解就是用于储存的一小块数据,在controller和view中使用,默认是储存在cache缓存中,因此不要储存关键的数据,复杂的数据。

关键翻译:Session are lazily loaded. If youdon't access sessions in your action's code,they will not be loaded.Hence you will never to disable sessions, just not accessing them will do the job.

session是惰性的,如果在action中不使用它,它不会自动加载,所以无需禁用它。

Session Guidlines

1.Do not store large objects in a session.Instead store them in the database and save their id in the session.

2.critical data should not be stored in session.

Session Storage

Rails provides several storage mechanisms(运行机制) for the session hashes. The most important is ActionDispatch::Session::CookieStore

(行为快速处理::一段会话::cookie存储)

retiever(a dog that to find and bring back sth for its master) ;retieve( to find sth and bring it back)

什么是cookiestore:在client-side储存session hash,sever-side可以通过session-id来快速的调用数据,这样有不安全的可能。client可以看到session的内容,Rails4开始使用加密算法 cookie(secrets.secret_key_base)

Replay Attacks for cookiestore sessions :(一种攻击方法。)

解决办法:使用a nonce(a random value)放置在session中,每个nonce只能用一次 。最好的办法还是不要存敏感信心如credit在session中,只在session中保留登陆user_id。

Session Fixation:(一种攻击方法。)

我的理解:攻击者从server端获得一个合法的session并保持长期活跃,然后通过感染页面的方式让用户使用attacker的这个陷阱session,用户始终不知道自己的session被篡改了。

Countermeasure: (应对措施) reset_session使用的Devise gem就有这个代码功能.

每次登陆登出都会自动分配新的session给用户。

Session Expiry:(session到期结束,一个安全方法。)

通过在服务器端设定session的 到期time_stamp 时间。

1.登陆多久后重置session. 但如果attacker在允许的登陆时间内反复登陆可以避开这个办法,所以需要用到下面的2.

2.设置这个session的最长寿命如2天。

delete_all "updated_at < '#{time.ago.to_s(:db)}' OR
  created_at < '#{2.days.ago.to_s(:db)}'"

p.p1 {margin: 0.0px 0.0px 0.0px 0.0px; font: 12.0px Arial; color: #3d3d3d; -webkit-text-stroke: #3d3d3d}
span.s1 {font-kerning: none}

12月13日 什么是help_method,session的简单理解, find_by等finder method的更多相关文章

  1. 2015年12月13日 spring初级知识讲解(四)面向切面的Spring

    2015年12月13日 具体内容待补充...

  2. 2016年12月13日 星期二 --出埃及记 Exodus 21:8

    2016年12月13日 星期二 --出埃及记 Exodus 21:8 If she does not please the master who has selected her for himsel ...

  3. 北京Uber优步司机奖励政策(12月13日)

    滴快车单单2.5倍,注册地址:http://www.udache.com/ 如何注册Uber司机(全国版最新最详细注册流程)/月入2万/不用抢单:http://www.cnblogs.com/mfry ...

  4. 18.Vim基础指令(自用)——2019年12月13日

    title: vim study date: "2018-12-26 20:17:16" tags: 指令学习 categories: 技术驿站 vim study 2018年12 ...

  5. 【12月13日】A股ROE最高排名

    个股滚动ROE = 最近4个季度的归母净利润 / ((期初归母净资产 + 期末归母净资产) / 2). 查看更多个股ROE最高排名 中公教育(SZ002607) - ROE_TTM:92.66% - ...

  6. 12月13日上午Smarty模版原理

    模板主要是用来让前端和后端分离的,前台页面只是一个前台页面,后台页面用php代码写逻辑,写完逻辑拿到前台显示. 一.写法 一般需要以下:写3个页面: 1.显示页面aa.html <!DOCTYP ...

  7. WinForm 进程、线程、TreeView递归加载、发送邮件--2016年12月13日

    进程:一个程序就是一个进程,但是也有一个程序需要多个进程来支持的情况 进程要使用的类是:Process它在命名空间:System.Diagnostics; 静态方法Start(); Process.S ...

  8. 2017年12月13日 LinQ用法基本的增删改查

    LinQ是什么? LinQ是语言集成的查询,是用于C#跟Vb的扩展语言 LinQ的用法 新建一个App_Code文件夹,在文件夹下添加一个数据LinQ to SQL类,可以直接直接点击服务器管理器然后 ...

  9. 12月16日 增加一个购物车内product数量的功能, 自定义method,在helper中定义,计算代码Refactor到Model中。

    仿照Rails实战:购物网站 教材:5-6 step5:计算总价,做出在nav上显示购物车内product的数量. 遇到的❌: 1. <% sum = 0 %> <% current ...

随机推荐

  1. Git 常用的命令

    基本内容: 工作区:就是你在电脑里能看到的目录. 暂存区:英文叫stage, 或index.一般存放在"git目录"下的index文件(.git/index)中,所以我们把暂存区有 ...

  2. 2018-2019-2 20165209 《网络对抗技术》Exp6:信息搜集与漏洞扫描

    2018-2019-2 20165209 <网络对抗技术>Exp6:信息搜集与漏洞扫描 1 基础问题回答和实验内容 1.1基础问题回答 (1)哪些组织负责DNS,IP的管理. Intern ...

  3. linux服务器---配置samba

    配置samba使用用户名和密码登录 1.当samba配置文件中的secure设置为user的时候,需要正确的用户名和密码才能登录. root@localhost /]#gedit /etc/samba ...

  4. 计算概论(A)/基础编程练习1(8题)/5:鸡兔同笼

    #include<stdio.h> int main() { // 鸡兔同笼中脚的总数:a < 32768 int a; scanf("%d", &a); ...

  5. nginx做http向https的自动跳转

    在访问百度时,在浏览器输入www.baidu.com会自动跳转到https://www.baidu.com不用人工干预,nginx也可以做这样的自动跳转! 首先让nginx服务器监听两个端口,分别是8 ...

  6. ORM 关系对象映射 基础知识点

    优点: 1.ORM使我们通用的数据库变得更加的简单便捷. 2.可避免新手程序员写sql语句带来的性能问题. 1. 创建单表 2. 创建关键表 1). 一对一 2). 一对多 3). 多对多 创建表的语 ...

  7. 20145302张薇 《网络对抗技术》 web基础

    20145302张薇 <网络对抗> web基础 实验问题回答 1.什么是表单 表单在网页中主要负责数据采集功能:一般网页上需要用户输入.选择的地方都会用到表单 表单标签:即,用于确定表单所 ...

  8. Python3基础 str 通过拆分字符串与插入新的内容形成新的字符串

             Python : 3.7.0          OS : Ubuntu 18.04.1 LTS         IDE : PyCharm 2018.2.4       Conda ...

  9. Android内核和Linux内核的区别

    1.Android系统层面的底层是Linux,并且在中间加上了一个叫做Dalvik的Java虚拟机,从表面层看是Android运行库.每个Android应用都运行在自己的进程上,享有Dalvik虚拟机 ...

  10. win7下把电脑设置成wlan热

    有很多公司没有无线网,只有自己的电脑可以上网,现在设置热点,可以手机上网 步骤: 1.看自己的网卡是否支持承载网络,如果不支持,本法就不适用 在CMD里用    netsh wlan show dri ...