前几天，有人在知名的网站爆料RoR有严重的漏洞
http://goo.gl/TWD7a
最后的确是个 SQL Injection 的漏洞
不过，中奖机率很低很低，有空还是记得要更新一下RoR版本就是了
简单来说 find_by_*() 这个 funciton 的第二个参数没有做正确检查
举例来说: User.find_by_id("aaa", :select => "0; drop table xxx;