[rails: Rails Security] #rails

rails_security.md

Rails セキュリティガイド

SQL Injection

find や where や HOGE = ? みたいにプレースホルダしている箇所はだいたい安全だと思ってよさそう。逆に group, order, having、exists の引数など文字列を受け取って SQL を組み立てるタイプのやつは to_i するなどしてユーザ入力をそのまま受け付けるようなことは避ける。

• ActiveRecordのSQLインジェクションパターン