ActiveRecord序列化，这是安全的吗？

Question

我有记录一个事件，并使用serialize方法存储一些额外的数据的简单ActiveRecord类。它有一个用于事件的字符串列和一个用于存储数据对象的文本列。

# DB Columns 
# event => string 
# data => text 
# 
class MyLog < ActiveRecord::Base 

    serialize :data 

    validates :event, :data, :presence => true 

end 

在我的控制，我想采取用户提交的信息，并把它作为数据：

class ContactFormController < ApplicationController 

    def send_message 
    ... 

    data = {name: params[:name], email: params[:email], message: params[:message]} 
    MyLog.create(event: "User submitted contact form", data: data) 

    ... 
    end 
end 

问题

1. 的serialize方法使用YAML默认存储状物体这个。在用户提交一些通过参数传递的狡猾代码的情况下，是否存在安全风险？当数据字段被检索和反序列化时，是否有机会执行用户提交的Ruby代码？
2. 我的目标是提供一种方法来记录来自于任何类型的有关该事件的我的应用程序和存储数据的任何地方的事件。有没有更好的方法来实现这个比我在这里设置的更好？

Answer 1

总体而言，这是完全正常的序列化，你想要的任何东西。任何类型的用户数据都可以接受。

这假设你已修补到绝对最新的版本的Rails 3.2或4.0。过去，YAML和JSON序列化存在一些问题，但这些问题已经修补并解决。使用像GemCanary的工具，以确保您的电流，并赶上未来的问题针对已知漏洞

测试您的应用程序。