私のコントローラーでは、多くのfind_by_sql()のものを使用しており、SQL インジェクションを避けるために、次のように SQL ステートメントをハッシュとして構築しています。
Beneficiary.find_by_sql(["SELECT * FROM beneficiaries WHERE project_id=? AND cso_id IN(SELECT user_id FROM user_projects INNER JOIN users ON user_projects.user_id=users.id)",params[:id]])
SQL インジェクションを回避するだけで十分ですか? それとももっと必要ですか?