У меня параметры используются для запроса GET, а не POST. Нет смысла заносить их в белый список при помощи permit, ибо нет никакого mass assignment. Зато нужно убедиться в наличии самих параметров в запросе.
Михаил Белошицкий: Михаил Белошицкий: Нет, я не имел ввиду валидацию аргументов модели. API не работает напрямую с моделями. Нужна именно проверка существования параметров в запросе.
Уточнил вопрос с примерами кода.
Касательно обоих пунктов: нужно позаботиться о сохранности передаваемых данных. Если API, то нужно применять дополнительно API для аутентикации с обоих сторон. Если настраивать доступ к удалённой СУБД, то только с безопасным соединением при помощи сертификата SSL.
(адресовано и Никита Кудинов )
А пример данных page_title не сложно ли привести?