Ruby On Rails in UA/Программирование на ROR/Защита от XSS, SQL- инъекций и т.д./RE: Защита от XSS, SQL- инъекций и т.д.

В рельсах если ты делаешь запросы стандартным путем автоматически кроются
:conditions =>['user = ?', params[:user]]
Для всех входящих параметров будет произведеня экранизация и параметр будет взят скобки
можешь в логах посомтреть

# File vendor/rails/activerecord/lib/active_record/connection_adapters/db2_adapter.rb, line 100 100: def quote_string(string) 101: string.gsub(/'/, "''") # ' (for ruby-mode) 102: end