zen-rails-security-checklist：Ruby on Rails应用程序的安全预防措施清单-源码

Zen Rails安全清单 概要 本文档提供了开发Ruby on Rails应用程序时要实施的安全措施的不一定全面的列表。 它旨在用作快速参考，并最大程度地减少开发人员健忘造成的漏洞。 它并不能替代开发人员有关安全编码原则以及如何应用它们的培训。 描述每个安全漏洞的工作方式不在本文档的范围之内。 在清单的相应部分中提供了指向包含更多信息的外部资源的链接。 请仅应用您完全理解的建议。 请记住，安全是一个不断发展的目标。 每天都会发现新的漏洞和攻击媒介。 例如，我们建议您订阅与您使用的软件和库相关的安全邮件列表，以尝试保持最新状态。 该清单旨在成为社区驱动的资源。 欢迎您的！ 免责声明：本文档未涵盖所有可能的安全漏洞。 作者对本文信息的准确性或完整性不承担任何法律责任。 支持的Rails版本 本文档重点介绍Rails 4和5。不包括早期版本中存在并在Rails 4中修复的漏洞。 目录 生成的。 清单 注射 注入攻击排名第一。 不要使用标准的Ruby插值（ #{foo} ）将用户输入的字符串插入ActiveRecord或原始SQL查询中。 使用? 字符，命名的绑定变量或来清理数据库