컨트롤러 개발 - 요청 정보 추출

요청 정보 추출 - params 메서드

클라이언트에서 전달된 요청 정보에 params[:<매개 변수 이름>]의 형식으로 접근할 수 있다. params 메서드에서 추출할 수 있는 요청 정보는 아래와 같다.

종류	설명
포스트 데이터	<form method="POST">로 정의된 입력 양식에서 전달된 값
쿼리 정보	URL 끝에 "?"이 붙고, "<키 값>=<값>&.."형식으로 지정된 정보
라우트 매개 변수	라우트에서 정의한 매개 변수("/books/1"에서 "1" 부분)

params 메서드로 배열을 전달할 때는 다음과 같이 키 이름의 뒤에 를 붙여줘야한다.

~/ctrl/para_array?category[]=rails&category[]=ruby

대량 할당 취약성을 피하는 방법

대량 할당(Mass Assignment)는 액티브 레코드에 있는 기본적인 기능 중 하나로, 모델의 필드를 한꺼번에 설정하는 것을 의미한다.

만약 아래처럼 new, update_attributes 등의 메서드에 "<필드 이름>: <값>" 형태로 구성된 해시를 전달하면 해당 속성을 사용해 객체를 설정하는 방법을 쓴다고 가정해보자.

@book = Book.new(params[:book])
@book = Book.find(params[:id])
@book.update_attributes(params[:book])

이 경우 우리 의도와 달리 params에 role 등의 권한과 관련된 필드를 수정하는 해시가 포함되면 보안문제가 발생할 소지가 크다. 이를 대량 할당 취약성이라고 부른다.

Rails는 이를 막기 위해 StrongParameters를 제공한다.

StrongParameters

StrongParameters는 대량 할당 취약성에 대한 화이트 리스트 대책 방법이다. 필드 값을 일괄 설정하기 전에 설정해도 괜찮은 값을 명시적으로 입력해 주는 것이 필요하다.

스캐폴딩으로 앱을 만들었을 때 컨트롤러에 포함되는 params.require(model).permit(attr, ..) 이 StrongParameters이다.

def book_params
  params.require(:book).permit(:isbn, :title, :price, :publish, "cd")
end

요청의 다양한 정보 추출

한편 headers 메서드를 사용하면 요청에 포함된 헤더를 쉽게 추출할 수 있다.

def req_head
  render text: request.headers['User-Agent']
end

업로드된 파일을 추추할 떄도 params 메서드를 사용할 수 있다. 이 경우 params 메서드는 업로드된 파일을 객체로 리턴한다.

1) 파일 시스템에 파일을 업로드하는 경우 예시

폼에 multipart 옵션을 지정해서 파일을 업로드하자. 그 뒤 아래처럼 받으면 된다.

def upload_process
  file = params[:upfile]
  name = file.original_filename
  perms = ['.jpg', 'jpeg', '.gif', '.png'] # 사용가능한 확장자 정의
  if !perms.include?(File.extname(name).downcase)
    result = '이미지 파일만 업로드해주세요!'
  elif file.size > 1.megabyte
    result = '1MB 이하의 파일만 업로드해주세요!'
  else
    File.open("public/docs/#{name}", 'wb') { |f| f.write(file.read) }
    result = "#{name.toutf8}를 업로드했습니다."
  end
    render text: result
end

2) 데이터베이스에 파일을 업로드하는 경우 예시

데이터베이스에 크기가 큰 바이너리 데이터를 저장하는 것에 대해서는 장단점을 따져야한다.

• 장점: 파일 접근 제약을 걸 때 데이터베이스의 기능을 그대로 활용할 수 있다.(파일 시스템으로 걸려면 번거로움.)

• 단점: 데이터베이스 자체의 크기가 비대화된다.