一般的な経験則として、ユーザーからのデータの入力を信頼することは想定されていません。パラメータを持つ単純な link_to がある場合:
link_to "Click me", test_path(:my_param => "test")
ルートは次のようになります: example.com/test?my_param=test
パラメータ、またはそのために挿入されたデータが適切にフィルタリングされているかどうかを確認するにはどうすればよいですか? Rails 3 API は、コントローラーに渡されるデータをフィルター処理することを指定していませんが、params データを使用する前に、コントローラーで params[:my_param] が安全にフィルター処理されていることを確認したいと考えています。
何かご意見は?