安全访问Web参数

在Ruby on Rails开发中，params是Web请求中传递的参数的容器。在处理这些参数时，我们需要注意安全性，以防止恶意用户的攻击。因此，Rails框架提供了一个便捷的方法来限制可接受的参数。

在Cart控制器中，我们使用如下代码：

def cart_params
  params.require(:cart).permit(:book_id, :user_id)
end

params.require(:cart) 表示参数必须包含cart属性，否则将抛出异常。 permit方法则允许我们只接受参数中的特定属性，这里我们只接受book_id和user_id属性。

这样做的好处是，任何跟进的参数都将被忽略，因此可以防止攻击者使用不受限制的参数。需要注意的是，我们仍然需要确保我们使用的属性是安全的，以避免其他类型的攻击。

在返回的数据中，您可以通过如下markdown进行标识：

```ruby
def cart_params
  params.require(:cart).permit(:book_id, :user_id)
end