CarrierWaveとは

CarrierWaveとは、Railsアプリケーションにファイルのアップロード機能を追加するためのgemです。 デフォルトの保存先はpublic/uploadsで、設定でS3などの外部ストレージへの保存も可能です。

GitHub github.com

CarrierWaveをローカルで使う

大まかな手順としては以下の通り。 それぞれ順を追って説明していきます。

1. CarrierWaveをインストールする
2. アップローダーを作成する
3. アップロードファイル用のカラムを追加する
4. アップローダーとカラムを紐づける
5. アプリケーションから画像を登録する
6. 画像を表示する

1. CarrierWaveをインストールする

$ gem install carrierwave

or Gemfileに以下を記述してbundle installを実行

gem 'carrierwave', '>= 3.0.0.beta', '< 4.0'

2. アップローダーを作成する

以下のコマンドの実行によりapp/uploaders/配下にAvatarUploaderクラスが作成されます

$ rails g uploader Avatar

アップローダーとは？

CarrierWave経由でアップロードするファイルの保存先、受け付ける拡張子の指定、 画像ならサイズや縦横比のフォーマットなどをあらかじめ指定するクラスです。 アップロード対象となるファイルの種別（画像、CSV、PDFなど）ごとに このアップローダーと後述のアップロード用カラムを用意する必要があります。 尚、アップローダークラスに storage :fileと記載することで、 public/uploads配下にファイルを保存することができます。

3. アップロードファイル用のカラムを追加する

次にアップロードしたファイルの情報を保存するカラムを追加します。

マイグレーションファイルを追加

$ rails g migration add_avatar_to_users avatar:string

マイグレーションを実行

$ rails db:migrate

なぜファイル名のみをDBに保持するのか？

上記で追加したavatarカラムには画像のバイナリではなく、ファイル名を保持します。 理由としては、単純にバイナリをそのまま保存するとサーバーの容量が圧迫されてしまうためです。 avatarカラムには、ファイルを特定するためのファイル名のみを保存して、表示時やダウンロード時に 「ファイルが格納されているパス + DBに保存されているファイル名」で表示を行います。

4. アップローダーとカラムを紐づける

アップロード機能を追加する対象モデルクラスで、3の手順で追加したavatarカラムと 2の手順で追加したAvatarUploaderクラスの紐付けを行います。

class User < ApplicationRecord
  mount_uploader :avatar, AvatarUploader
end

これでファイルアップロード時にAvatarUploaderクラスが利用できるようになりました。

5. アプリケーションから画像を登録する

ユーザー登録画面のviewに記述されている、formにfile_fieldを追加してファイル選択ボックスを作成する。

<%= form.label :avatar %>
<%= form.file_field :avatar %>

users_controllerではストロングパラメーターにavatarカラムを追加することを忘れないようにしましょう。

def user_params
  params.require(:user).permit(:name, :age, :avatar)
end

ファイル選択ボックスから画像を選択し、登録を実行すると、paramsのavatarキーに選択したファイルの情報が入ります。 @original_filenameがavatarカラムに保存され、バイナリは「public/uploads/モデル名/画像のカラム名/id」配下に保存されます。

6. 画像を表示する

アバター画像を表示させるには、まずは画像が保存されている場所(パス)を取得する必要があります。

UserモデルにてAvatarUploaderクラスとavatarカラムを紐づけを行っているので、以下のAvatarUploaderクラスのメソッドを使って 簡単にアップロードしたファイルの情報を取得することが出来ます。

ファイルのURLを取得

userインスタンス.avatar.url

カレントパス取得

userインスタンス.avatar.current_path

ファイル名を取得

userインスタンス.avatar.avatar_identifier

viewでimage_tagと上記メソッドを活用することでアップロードしたファイルの表示が行えます。

<% if @user.avatar? %>
  <p>
    <strong>Avatar:</strong>
    <%= image_tag @user.avatar.url %>
  </p>
<% end %>

表示の仕組み

public以下に配置したファイルは、Railsのデフォルトでブラウザに直接送信されるので、 アドレスバーにpublic以下のパス(url)を指定する事で、その画像をブラウザで表示する事が出来ます。

ストロングパラメータとは

strong parametersは、Action ControllerのパラメータをActive Modelの「マスアサインメント」で利用することを禁止します（許可されたパラメータは除く）。 したがって開発者は、マスアップデートを許可する属性をコントローラで明示的に指定しなければなりません。 strong parametersは、ユーザーがモデルの重要な属性を誤って更新してしまうことを防止するためのより優れたセキュリティ対策です。

引用：Action Controller の概要 - Railsガイド

マスアサインメントとは

RailsにおけるDBの更新処理形で、複数のカラムを一括で指定することが可能です。 フォームから送られてきたパラメーターをひとつにまとめて、一度に保存できます。

User.create(name: 'garasi', age: 28, admin: true)

マスアサインメントの脆弱性

マスアサインメントはフォームから入力された複数の項目をキーバリューとして受け取って、モデル側でそれらをまとめて更新できる便利な機能である反面、 開発者側がなんの考慮もせずにフォームからの情報をマスアサインメントでモデルに渡してしまうと、悪意のあるパラメータを受け付けてしまう可能性があります。

例えばUserモデルにadminという管理者権限の有無を示すフラグが設けられており、アプリの開発者や管理者のみtrueにして、管理者用の画面へのアクセスを許可していたとしましょう。 もし悪意のある第三者がユーザー登録時に、Chromeのdevツールなどを用いてパラメータにadmin: true を付与してリクエストを送信してきた場合、 悪意のある第三者に管理者権限を持ったアカウントが発行されてしまい、アプリケーションが危険に晒されてしまう危険性があります。

改めてストロングパラメータとは

フォームから渡ってきたパラメータにコントローラー側であらかじめ許可する項目を指定して、 フォーム上から悪意のあるパラメータが送られてきた場合に開発者側で許可したカラム以外の更新を防ぐことを可能にしたもの。 要するに安全が保証されたパラメータをマスアサインメントでモデルに渡すためのRailsのセキュリティ機構と言えるでしょう。

具体的な使い方

一次元構造のハッシュ、二次元構造のハッシュでそれぞれ以下のように定義する必要があります

#一次元ハッシュの場合
params.permit(:キー名)

# 二次元ハッシュの場合
params.require(:モデル名).permit(:キー名)

パラメータを受け取るコントローラーのprivateメソッドとして定義することが多いです

　def create
    user = User.new(user_params) # =>{ name: "garasi", age: 28 }と同義
    if user.save
        redirect_to root_path, notice: '登録が完了しました'
    else
        render :new
    end
　end

　private
　# 例:名前と年齢以外を受け取らないため管理者権限など重要な項目を変更されることがない
　def user_params
　　params.require(:user).permit(:name, :age)
　end

requireとpermit

コントローラー側で送られてきたパラメータを出力すると以下のようなハッシュが渡ってきていることがわかります。 以下の場合requireメソッドを使ってキーがuserの値のみを読み込み、その中で更にpermitメソッドにより許可する属性名を指定しています。

# Parameters
=> <ActionController::Parameters {
  "utf8"=>"✓", 
  "authenticity_token"=>"<token>", 
  "user"=>{"name"=>"garasi", "age"=>"29"}, 
  "commit"=>"送信", 
  "controller"=>"users", 
  "action"=>"create"
} permitted: false>

# controller
　def user_params
　　params.require(:user).permit(:name, :age)
　end

これらを踏まえて再度ストロングパラメータの指定コードを見てみると以下のように読み取ることができます。 1. params.require(:user)ではparamsからキーがuserのバリューのみを受け取る 2. permit(:name, :age)をメソッドチェーンすることによってそのうちnameとageのカラムのみをモデルに受け渡すことを許可している

まとめ

• モデルには複数の値を一括で受け取って更新できるマスアサインメントという更新処理系が存在する。
• マスアサインメントには脆弱性があり、開発者がなにも考慮しないと悪意のある第三者に管理者権限を奪取されたり、アプリケーションのセキュリティ的に不都合な値を変更される可能性がある。
• この脆弱性に対応するため、フォームからの受け取りを許可する項目をあらかじめ指定して安全な値のみをマスアサインメントでモデルに受け渡す必要がある。
• この受け取る内容を制限したパラメータがストロングパラメータ。
• ストロングパラメータはviewから送られてきたparamsにrequireメソッドとpermitメソッドで値を受け取るキーとバリューを指定することで作成できる。

入門といいつつ今回は少し踏み込んだフォームの使い方について。 実務の要件ではform_withの枠組みから外れて、送るパラメータの構造を設計しなければならない場面に直面することもあります。 今回はそんな時に覚えておくとちょっと役立つかもしれないテクニックを3つほど紹介していきます。 この記事を最後まで読むことで、下記のようなパラメータを自在に設計できるようになります。

users: [
　　{
　　　id: 10, name: "山田太郎", email: "test@email.com", phone_number: '024-111-11',
　　　action_histoires: [
　　　　{id: 10, action_datetime: "2022-05-13T00:00:00", description: "外出"},
　　　　{id: 20, action_datetime: "2022-05-13T00:00:00", description: "直帰"},
　　　　{id: nil, action_datetime: "2022-05-13T00:00:00", description: "時間休 13:00~"},
　　　],
　　},
　　{
　　　id: 20, name: "山田太郎", email: "test@email.com", phone_number: '024-111-11',
　　　action_histoires: [
　　　　{id: 30, action_datetime: "2022-05-13T00:00:00", description: "外出"},
　　　　{id: nil, action_datetime: "2022-05-13T00:00:00", description: "直帰"},
　　　　{id: nil, action_datetime: "2022-05-13T00:00:00", description: "直帰"},
　　　],
　　},
]

この例はユーザーとそれに紐づくユーザーの行動履歴をネスト形式で送るという想定です。 usersという配列の中に各ユーザーの情報がハッシュとして格納されており、その中で更に関連する行動履歴をaction_historiesというハッシュの配列として持ち合わせています。このような構造のparamsを作るための方法を以下の順で追っていこうと思います。

1. フォームからデータをハッシュ形式で送る方法
2. フォームからデータを配列形式で送る方法
3. フォームからデータをハッシュの配列形式で送る方法

データをハッシュ形式で送る

htmlのinputでname属性に user[name] のように指定すると、指定したパラメーター名でハッシュが作成されます。（ブラケット内のワードをキーに、inputに入力された値がバリューになる）

Rails（viewファイル）

<%= form.text_field 'user[name]' %> 
<%= form.email_field 'user[email]' %> 

form_withにモデルのインスタンスが指定されていれば以下と同義です

<%= form_with(model: User.new, local: true) do |form| %> 
    <%= form.text_field :name %> 
    <%= form.email_field :email %> 
<% end %>

form_withにmodelオプションが指定されている場合、formヘルパーの第一引数にモデルが持つ属性をシンボルで指定することが可能です。 このように指定した場合、復元されたhtmlでは モデル名[属性名] の形式のname属性がinputタグに自動でセットされます。

復元されるhtml

<input type="text" name="user[name]" value="山田太郎" >
<input type="email" name="user[email]" value="yamada@email.com" >

送信されるparams

user => {
  name: '山田太郎',
  email: 'yamada@email.com'
}

データを配列形式で送る

htmlのinputでname属性に user[] のように指定すると、同じnameを持つinput valueの配列が作成されます。

Rails（viewファイル）

<%= form.text_field 'user[]' %>
<%= form.email_field 'user[]' %> 

復元されるhtml

<input type="text" name="user[]" value="山田太郎" >
<input type="email" name="user[]" value="yamada@email.com" >

送信されるparams

user => ['山田太郎', 'yamada@email.com']

データをハッシュの配列形式で送る

上記二つを合わせるイメージ。htmlのinputでname属性に users[][name]のように指定すると、usersというキーに配列が作成され、その配列の中に複数のハッシュが内包される構造を作ることが可能です。

Rails（viewファイル）

<%= form.text_field 'users[][name]' %>
<%= form.text_field 'users[][email]' %>

復元されるhtml

<input type="text" name="users[][name]" value="山田太郎" >
<input type="email" name="user[][email]" value="yamada@email.com" >
<input type="text" name="users[][name]" value="佐藤次郎" >
<input type="email" name="user[][email]" value="sato@email.com" >

送信されるparams

users => [
    { name: '山田太郎', email: 'yamada@email.com' },
    { name: '佐藤次郎, email: 'sato@email.com' },
]