■[Rails] SafeRecord 11:37 今頃気づいたのですが、先日開催された Web アプリケーションセキュリティフォーラムで、NaCl の前田さんが SafeRecord というプラグインを発表していたのですね。 http://shugo.net/jit/20070705.html#p01 (Mac の Preview では何故か PDF の文字が読めなかったので RD のほうを読みました。) 拙作 Safe ERB が view で文字列のエスケープを忘れると例外が発生するのと同様、SafeRecord では以下のようにパラメータを直接 SQL に渡すと例外が発生して SQL インジェクションを防げるようになっています。すばらしい。 post = Post.find(:first, :conditions => "title = '#{params[:title]}'")