大量赋值(Mass assignment)

Mass assignemet是个Rails专属，因为太方便而造成的安全性议题。ActiveRecord物件在新建或修改时，可以直接传入一个Hash来设定属性(这功能叫做Mass assignment)，所以我们可以直接将网页表单上的参数直接丢进放进去：

def create
  # 假设表单送出 params[:user] 参数是
  # {:name => “ihover”, :email => "[email protected]", :is_admin => true}

  @user = User.create(params[:user])
end

def update
  @user = User.update(params[:user])
end

但是这个Model包含一些敏感属性，例如此例中is_admin是个辨别是否是管理员的Boolean值，恶意的使用者可以直接修改HTML表单送出is_admin=true，造成了安全上的漏洞，所以以上的程式实际上会出现ActiveModel::ForbiddenAttributesError的安全错误讯息。
为了解决这个问题，Rails使用了Strong Parameters的机制来检查params参数必须经过检查才可以做Mass assignment，例如上述的程式必须改成：

def create
  @user = User.create(user_params)
end

def update
  @user = User.update(user_params)
end

protected

def user_params
    params.require(:user).permit(:name, :email)
end

这样才可以一次赋值name和email。
当然，如果你没有Mass assignment的需求，大可不必用到Strong Parameters技巧，例如以下的程式也是可以运作的：

def create
  @user = User.create( :name => params[:user][:name], :email => params[:user][:email] )
end