Ganz coole Liste, mit lauter Fallstricken im Bezug auf Rails und SQL Injections:

This page lists many query methods and options in ActiveRecord which do not sanitize raw SQL arguments and are not intended to be called with unsafe user input. Careless use of these methods can open up code to SQL Injection exploits. The examples here do not include SQL injection from known CVEs and are not vulnerabilites themselves, only potential misuses of the methods.

Einiges davon ist meiner Meinung nach offensichtlicher Unsinn, weil man die Funktionen falsch verwenden werden. Aber man wundert sich ja manchmal, auf was für Ideen manche Entwickler kommen. :)

Zum Beispiel würde man (eigentlich) keine String Interpolation in einem where machen:

# Falsch
User.where("name = '#{params[:name]}' AND password = '#{params[:password]}'")

# Richtig
User.where("name = ? AND password = ?", params[:name], params[:password])

Es schadet aber nicht, die Liste mal durchzugehen und mit dem eigenen Code zu vergleichen. Und wie immer, RTFM: Ruby on Rails Security Guide