嘿，我之前升级Rails版本时也碰到过一模一样的问题——不想靠兼容gem拖着历史包袱，毕竟迟早要升Rails 5，必须彻底搞定attr_accessible的替代。针对那些没有对应控制器的模型，这里有几个实用且可持续的方案：

方案1：模型内封装参数过滤方法 #

这是最直接的方式，把strong_params的逻辑移到模型层，手动实现创建和更新时的参数白名单：

class LegacyModel < ActiveRecord::Base
  # 定义允许的参数列表，对应原来的attr_accessible
  def self.permitted_attributes
    [:title, :description, :status]
  end

  # 封装创建逻辑
  def self.create_safely(params)
    create(params.permit(permitted_attributes))
  end

  # 封装更新逻辑
  def update_safely(params)
    update_attributes(params.permit(self.class.permitted_attributes))
  end
end

使用的时候，把原来的LegacyModel.create(params)换成LegacyModel.create_safely(params)，更新同理。这样完全复刻了strong_params的安全过滤，而且不需要任何额外依赖。

方案2：用模块封装通用逻辑（适合多个无控制器模型） #

如果有多个这类模型，重复写过滤方法太冗余，可以抽成一个可复用的模块：

module ModelParamProtection
  def self.included(base)
    base.extend(ClassMethods)
  end

  module ClassMethods
    # 声明允许的参数，用法类似attr_accessible
    def permit_attributes(*attrs)
      @permitted_attrs = attrs
    end

    def permitted_attrs
      @permitted_attrs || []
    end
  end

  # 安全赋值方法
  def assign_safe_params(params)
    assign_attributes(params.permit(self.class.permitted_attrs))
  end
end

# 在模型中引入并配置
class UserPreference < ActiveRecord::Base
  include ModelParamProtection
  permit_attributes :notification_enabled, :theme
end

# 使用示例
preference = UserPreference.new
preference.assign_safe_params(params)
preference.save!

这个方案的优势是代码复用性强，所有无控制器模型都能快速接入，维护成本低。

方案3：在调用层手动过滤参数 #

如果模型本身不需要封装逻辑，也可以在调用这些模型的地方直接做参数过滤——比如在后台任务、脚本或者其他控制器里：

# 比如在某个后台任务中创建模型
params = { title: "Test", unwanted_attr: "hack" }
filtered_params = params.permit(:title, :description)
LegacyModel.create(filtered_params)

这种方式适合模型使用场景单一的情况，不用改动模型代码，直接在调用处处理即可。

关键注意事项 #

• 务必全面排查所有创建/更新该模型的代码路径，确保没有遗漏直接使用new(params)、update_attributes(params)的地方，否则会有参数泄露风险；
• 建议在测试中添加用例，验证未被允许的参数无法被赋值，保障逻辑的安全性；
• 这些方案完全兼容Rails 4.2+，后续升级到Rails 5时不需要额外修改，完美规避重复工作量。

内容的提问来源于stack exchange，提问作者Subash