У меня такая модель:
class Page < ActiveRecord::Base
attr_accessible :page_id, :name, :page_url, :username
end
и у него нет связанного контроллера, но в другом контроллере я выполняю этот код:
fgraph = Koala::Facebook::API.new(ftoken)
@pages = fgraph.fql_query("select XXX from pages where xxx")
@pages.each do |p|
newpage = Page.find_or_initialize_by_page_id("#{p["page_id"]}")
newpage.update_attributes(
name: p["name"],
username: p["username"],
page_url: p["page_url"]
)
end
эта последняя строка обновляет данные моей модели данными facebook. Я предполагаю, что невозможно атаковать с помощью массового назначения, потому что я получил информацию внутри метода действия, но я действительно начинаю с рельсов, и я хотел бы подтвердить, верно ли мое предположение.