Rails3中的attr_accessible、attr_protected和Rails4+的强制参数

attr_accessible、attr_protected这两个方法最后可用的版本为rails3.2.13，用于在对model进行大量赋值时，通过指定白名单（attr_accessible）或黑名单（attr_protected）的方式，确保安全性。
attr_accessibleh和attr_protected区别的详细说明。

在rails4中，对大量赋值的控制提升到了controller层，采用强参的方式进行限制，故这两个方法被废除。

    class PeopleController < ActionController::Base      # This will raise an ActiveModel::ForbiddenAttributes exception      # because it's using mass assignment without an explicit permit      # step.      def create        #可以指定params.permit!强制允许大量赋值，但为了系统安全性，需要参照update的处理方式，列出可以通过大量赋值（mass assignment）更改属性的白名单列表。        params.permit!        Person.create(params[:person])      end      # This will pass with flying colors as long as there's a person key      # in the parameters, otherwise it'll raise a      # ActionController::ParameterMissing exception, which will get      # caught by ActionController::Base and turned into that 400 Bad      # Request reply.      def update        person = current_account.people.find(params[:id])        person.update_attributes!(person_params)        redirect_to person      end      private      # Using a private method to encapsulate the permissible parameters      # is just a good pattern since you'll be able to reuse the same      # permit list between create and update. Also, you can specialize      # this method with per-user checking of permissible attributes.      def person_params        #列举白名单列表        params.require(:person).permit(:name, :age)      end    end

因为手上的项目需要从Rails3.2升级到Rails4.0，为了进行平滑升级，可以指定配置

config.action_controller.permit_all_parameters = true

允许Rails4+对大量赋值的应用，另外，为了保证系统安全性，对于安全性要求高的业务场景，需要通过指定白名单的方式进行赋值。

参考资料

• http://guides.rubyonrails.org/action_controller_overview.html#strong-parameters
• http://stackoverflow.com/questions/18092475/in-rails-4-disable-strong-parameters-by-default
• http://api.rubyonrails.org/classes/ActionController/Parameters.html
• https://ihower.tw/rails4/security.html