从 3.2 升级 4.0，对这个和 mass assignments 的关系不太理解. 原有：

def update
    user.update_attributes!(:key=> params[:key])
end

这种是否并不会触发漏洞？ 漏洞的触发应该是类似

def update
    user.update_attributes!(params[:key])
end

并且没有启用 attr_protected? 更符合 4.0 的应该是 1 还是 2 呢？

###1
def update
    user.update(user_update_params)
end
private
def  user_update_params
    params.permit(:key)
end
###2
def update
    user.update(:key => params[:key])
end

除了 RESTful 的 create 和 update，还有哪些哪些常见场景容易犯错并且是 Ruby On Rails 没有 错误提示的？