Railsのrequire/permitメソッドの使い方を現役エンジニアが解説【初心者向け】

初心者向けにRailsのrequire/permitメソッドの使い方について現役エンジニアが解説しています。requireでオブジェクト名、permitメソッドで変更を可能にするキーを指定することが出来ます。他の項目を変更出来ないようにします。

TechAcademyマガジンはオンラインのプログラミングスクールTechAcademy [テックアカデミー]が運営する教育×テクノロジーのWebメディアです。初心者でもすぐ勉強できる記事が2,000以上あります。

Railsのrequire/permitメソッドの使い方について解説します。

Rubyについてそもそもよく分からないという方は、Rubyとは何なのか解説した記事をまずご覧ください。

 

なお本記事は、TechAcademyのWebアプリケーションオンラインブートキャンプの内容をもとに紹介しています。

田島悠介

今回は、Rubyに関する内容だね!

大石ゆかり

どういう内容でしょうか?

田島悠介

Railsのrequire/permitメソッドの使い方について詳しく説明していくね!

大石ゆかり

お願いします!

 

require/permitメソッドとは

require/permitメソッドとは、RailsでDBを更新する際に、不要なパラメータを取り除く(必要なパラメータだけに絞り込む)ためのメソッドです。

 

require/permitメソッドが必要な理由

なぜこのメソッドが必要なのか、name, age, passwordを持つUserモデルを例にして考えてみましょう。

(一般的には考えにくいですが)何らかの事情でpasswordフィールドは、利用者に更新させたくなかったとします。その場合の更新用フォームは以下の画像のようになるでしょう。

railsのrequireとpermitメソッドのフォームパラメータ例1

この時にRailsで受け取るパラメータは以下の通りです。

 

params = {
  "utf8" => "?",
  "authenticity_token" => "token",
  "user" => {
    "name" => "taro",
    "age" => "18"
  },
  "commit" => "Update User",
  "id" => "1"
}

 

もし悪意のある利用者が、次のように入力フォームを追加して投稿した場合、受け取るパラメータも変わってしまいます。

railsのrequire・permitメソッドのフォームパラメータ例2

 

params = {
  "utf8" => "?",
  "authenticity_token" => "token",
  "user" => {
    "name" => "hanako",
    "age" => "30",
    "password" => "YourPassword" # このフィールドが追加される
  },
  "commit" => "Update User",
  "id" => "1"
}

 

このように本来送られてくることのないpasswordパラメータが存在していたとしても、それを取り除くことができるのがrequire/permitメソッドになります。

require/permitメソッドの使い方

requireメソッドで受け取るパラメータ群を、permitメソッドで利用可能なパラメータ名を指定します。

Userモデルのname, ageカラムのみを受け取る場合は、以下のように書きます。createメソッド、updateメソッドで共通的に使用するため、user_paramsのように別のメソッドに切り出すのが一般的です。

 

def user_params
  params.require(:user).permit(:name, :age)
end

 

[PR] Rubyのプログラミングで挫折しない学習方法を動画で公開中

筆者プロフィール

メンター稲員さん

フリーランスエンジニア。
大手SEからフリーランスのWeb系エンジニアにジョブチェンジ。

経験言語:Ruby、Rails、Python、C/C++、Java、Perl、HTML/CSS3、JavaScript、CoffeeScript,Node.js。
おうち大好きマンです。

 

大石ゆかり

内容分かりやすくて良かったです!

田島悠介

ゆかりちゃんも分からないことがあったら質問してね!

大石ゆかり

分かりました。ありがとうございます!

TechAcademyでは初心者でも最短4週間でエンジニアになれるRuby on Railsオンラインブートキャンプを開催しています。

現役エンジニアがパーソナルメンターとして受講生に1人ずつつき、マンツーマンのメンタリングで学習をサポートし、最短4週間でオリジナルWebサービスを開発することが可能です。

また、現役エンジニアから学べる無料のプログラミング体験会も実施しているので、ぜひ参加してみてください。