ActiveRecord序列化，這是安全的嗎？

Question

我有記錄一個事件，並使用serialize方法存儲一些額外的數據的簡單ActiveRecord類。它有一個用於事件的字符串列和一個用於存儲數據對象的文本列。

# DB Columns 
# event => string 
# data => text 
# 
class MyLog < ActiveRecord::Base 

    serialize :data 

    validates :event, :data, :presence => true 

end 

在我的控制，我想採取用戶提交的信息，並把它作爲數據：

class ContactFormController < ApplicationController 

    def send_message 
    ... 

    data = {name: params[:name], email: params[:email], message: params[:message]} 
    MyLog.create(event: "User submitted contact form", data: data) 

    ... 
    end 
end 

問題

1. 的serialize方法使用YAML默認存儲狀物體這個。在用戶提交一些通過參數傳遞的狡猾代碼的情況下，是否存在安全風險？當數據字段被檢索和反序列化時，是否有機會執行用戶提交的Ruby代碼？
2. 我的目標是提供一種方法來記錄來自於任何類型的有關該事件的我的應用程序和存儲數據的任何地方的事件。有沒有更好的方法來實現這個比我在這裏設置的更好？

Answer 1

總體而言，這是完全正常的序列化，你想要的任何東西。任何類型的用戶數據都可以接受。

這假設你已修補到絕對最新的版本的Rails 3.2或4.0。過去，YAML和JSON序列化存在一些問題，但這些問題已經修補並解決。使用像GemCanary的工具，以確保您的電流，並趕上未來的問題針對已知漏洞

測試您的應用程序。