Ruby on Rails では、HTML フォームからモデルを更新するのは非常に簡単です。通常、モデルを使用して form_for を作成するだけで、ユーザーが送信ボタンを押すと、そこにあるフィールドが更新されます。
ただし、悪意のあるユーザーが、適切なチャネルを経由せずに「給与」を更新したいと考えているとします。メールアドレスを更新するときに「給与」という名前のフィールドを挿入して(たとえば)、基本的に支払いを希望どおりに設定することはできませんか? 変更できるフィールドと変更できないフィールドを指定するにはどうすればよいですか?
のようなものを見る
@user.update_attributes(params[:user])
怖いようです。彼らは何でも更新できました。attr_accessible の使用法は理解していますが、それは一括更新にのみ関係しますね。