#始めに
Sequelを使ったクエリ発行でSQLインジェクションが発生しないか確認してみました
#環境
Jruby 9.12
Oracle12C
Rails 4.2.9
#確認したこと
##入力文字列
正しくエスケープ処理されないとSQLインジェクションが起こる文字列をブラウザで入力し、サーバー側に送り込んでみる
##発行されたSQLをV$SQLから取得する
V$SQLで発行されたSQLを確認すると、" ' "がエスケープされていて、ブラウザからの入力が文字列として扱われている
#終わりに
Rails側かSequel側のどちらかは分かりませんが、SQL発行時に埋め込み文字列に対してエスケープ処理はなされているみたいです
なので、安心して、今後積極的に生SQLを使っていきます