Zaten default olarak password ve remember_token alanları hidden olarak tanımlı modelde. Başka modeller içinde konuşmak gerekirse client tarafına basılacak parametreleri vs belirleme yetkisi zaten vermeyin, ayrıca client ten gelen verileri massAssignment ile kaydetmek te riskli olabiliyor. Eğer kullanacaksanız da model de fillable alanları tanımladığınızdan emin olun.
Birde yakın zamanda başıma geldiği için acı tecrübe edindim, projeyi canlıya aldığınız anda production a alın. Müşteri gelişmeleri ve kullanımları görebilsin diye siteyi canlıya aldık ama client lere kullandırıldığını bilmediğimden ve bana söylenmediğinden hataları direk görebilmek için debug mode açık olarak bırakmıştım. Kullanıcının birinde bir hata oluşunca pat diye bilgiler önüne serildi :S