การกำหนดค่าแบบกลุ่ม (Mass assignment)เป็นช่องโหว่ทางคอมพิวเตอร์ที่รูปแบบ Active Recordในแอปพลิเคชันเว็บถูกนำไปใช้ในทางที่ผิดเพื่อแก้ไขข้อมูลที่ผู้ใช้ไม่ควรได้รับอนุญาตให้เข้าถึง เช่น รหัสผ่าน สิทธิ์ที่ได้รับอนุญาต หรือสถานะผู้ดูแลระบบ

เฟรมเวิร์กแอปพลิเคชันเว็บจำนวนมากนำเสนอ คุณสมบัติ Active RecordและObject-Relational Mappingซึ่งข้อมูลภายนอกใน รูปแบบ อนุกรม จะถูกแปลงโดยอัตโนมัติเมื่อป้อนข้อมูลเป็น อ็อบเจ็กต์ภายในและในทางกลับกันเป็นฟิลด์บันทึกฐานข้อมูล หากอินเทอร์เฟซของเฟรมเวิร์กสำหรับการแปลงนั้นอนุญาตมากเกินไป และนักออกแบบแอปพลิเคชันไม่ได้ทำเครื่องหมายฟิลด์เฉพาะเป็นฟิลด์ที่ไม่สามารถเปลี่ยนแปลงได้ ก็เป็นไปได้ที่จะเขียนทับฟิลด์ที่ไม่ได้ตั้งใจให้แก้ไขจากภายนอก (เช่น แฟล็กสิทธิ์ผู้ดูแลระบบ) ^{[ 1 ]}

ช่องโหว่เหล่านี้พบในแอปพลิเคชันที่เขียนด้วย^{Ruby on Rails} [ 2 ^{] ASP.NET} MVC [ ^{3 ]}และJava Play framework [ ^{4 ]}

ในปี 2012 การกำหนดค่าจำนวนมากบน Ruby on Rails อนุญาตให้ข้ามข้อจำกัดการแมปและส่งผลให้เกิดการพิสูจน์แนวคิด การแทรกคีย์สาธารณะ SSHที่ไม่ได้รับอนุญาตเข้าไปในบัญชีผู้ใช้ที่GitHub [ ^{5 ] [ 6 ] ช่อง}โหว่เพิ่มเติมใน Ruby on Rails อนุญาตให้สร้างวัตถุภายในผ่านโครงสร้างJSON ที่สร้างขึ้นเป็นพิเศษ ^{[ 7 ]}

ใน ASP.NET Core สามารถประกาศข้อจำกัดการแมปได้โดยใช้[BindNever]แอตทริบิวต์^{[ 8 ]}

• วัตถุถ่ายโอนข้อมูล (DTO)