Если вы получили данные с формы, то можете одним махом их закинуть в модель $user->fill($input). Но хакер может заменить имена переменных формы и вы присвоите не те поля, если все fillable.
you should still never pass any raw array of user controlled input into a save or update method, as any column that is not guarded may be updated.
