Fails:
PHP kôd:
def signup
params[:user]
@user = User.new(params[:user])
end
Kohana:
PHP kôd:
$user = ORM::factory('user')
->values($this->request->post())
->create();
Ali u oba je moguće začepiti rupu, za RoR
http://edgeguides.rubyonrails.org/se...ass-assignment je attr_protected, a za Kohanu (primjer PHP FW, poštenog) je dovoljno dodati drugi parametar tipa ['username', 'password'] i ostalo će se ignorisati.