前幾天，有人在知名的網站爆料RoR有嚴重的漏洞
http://goo.gl/TWD7a
最後的確是個 SQL Injection 的漏洞
不過，中獎機率很低很低，有空還是記得要更新一下RoR版本就是了
簡單來說 find_by_*() 這個 funciton 的第二個參數沒有做正確檢查
舉例來說: User.find_by_id("aaa", :select => "0; drop table xxx;