Quelques notes: - le passage d'id à un slug ne va pas changer grand chose si la personne est un peu motivée; ça sert surtout pour le SEO si tu as des ressources publiques - j'aime bien authority <https://github.com/nathanl/authority> personnellement dès qu'il y a quelque chose de non trivial à implémenter; dans l'esprit ça ne semble pas très très éloigné de pundit - depuis les différentes failles (ex: celle là <http://www.phenoelit.org/blog/archives/2013/02/05/mysql_madness_and_rails/>), j'ai pris l'habitude de forcer le type des paramètres pour éviter les failles où un paramètre finit par arriver en type complexe (ex: quelqu'un trouve une façon de passer un paramètre qui va donner un array au lieu d'une chaine, et activerecord fait quelque chose d'inattendu avec etc). Du coup je fais souvent params[:token].to_s avant de le passer à AR. Sur de grosses applis tu peux creér un petit processeur de params ou j'imagine utiliser une gem pour ça (je n'en ai pas sous le coude) - tu peux utiliser des outils comme brakeman <http://brakemanscanner.org/> et/ou tinfoil <https://www.tinfoilsecurity.com/> - après, tu peux embaucher (ce que je fais pour WiseCash <https://www.wisecashhq.com>) un freelance en sécu pour faire du pentesting ou un audit de code
voilà pour aujourd'hui :-) -- Thibaut -- -- Vous avez reçu ce message, car vous êtes abonné au groupe "Railsfrance" de Google Groups. Pour transmettre des messages à ce groupe, envoyez un e-mail à l'adresse railsfrance@googlegroups.com Pour résilier votre abonnement envoyez un e-mail à l'adresse railsfrance-unsubscr...@googlegroups.com --- Vous recevez ce message, car vous êtes abonné au groupe Google Groupes Railsfrance. Pour vous désabonner de ce groupe et ne plus recevoir d'e-mails le concernant, envoyez un e-mail à l'adresse railsfrance+unsubscr...@googlegroups.com. Pour plus d'options, visitez le site https://groups.google.com/d/optout .