对于多个变量同时赋值，黑客比较喜欢利用这个特性进行攻击：

比如直接从一个表单中提取参数赋值个一个对象的各个属性，这样做的话，黑客可以通过curl命令来模拟提交表单的各个参数，而在其中加入为一些关键的属性赋值，例如admin=true, 这样黑客就可以获得管理员权限，从而破坏网站。

解决的方法是：
把那些关键属性添加一条命令：
attr_protected :admin

但是这种做法只能保护某一些属性，更好的做法也许是
attr_accessible :name

这种做法可以保证通过表单的mass assignment 只能为某一个属性赋值。