Официальный способ предотвращения угроз безопасности при массовом назначении - использованиеattr_accessible, Однако некоторые программисты считают, что это не работа для модели (или, по крайней мере,только для модели). Самый простой способ сделать это в контроллере - это нарезатьТитулы хэш:

@user = User.update_attributes(params[:user].slice(:name))

Однако в документации говорится:

Обратите внимание, что использование Hash # кроме или Hash # slice вместо attr_accessible для очистки атрибутов не обеспечит достаточную защиту.

Почему это?Почему нарезка белого спискаТитулы не обеспечивает достаточную защиту?

ОБНОВИТЬ: Rails 4.0 будет поставлять сильные параметрыулучшенная нарезка параметров, так что я думаю, что все срезы были не так уж и плохи.