岩本です。

よくRailsの書き方で
@record = Record.new(params[:record])
if @record.save
end

というようにやっている箇所がありますが、これって危険だと思うのですが、
皆さんはどのように回避していますか?

例えば、あるカラムについては入力フィールドを用意せずにnullのまま
値を保存したい場合、リクエストのパラメタを捏造されると、予期しない動きを
してしまう気がするのですが。。。
update_attributes params[:record]
とした場合も同じです。
アップデートさせたくないカラム名をリクエストに含ませられてしまうと、
予期しないカラムが更新されてしまいますよね。

update_atributes(params[:record], {:name, :amount, :size})
こんな感じで更新するカラムを指定できたらいいんですけどね。。。

普通はどのようにするんでしょうか？

--
ML: rails@r...
使い方: http://QuickML.com/