メモ

• トップページが指定された場合のルーティング先を定義

　　→route.rb

• 各種デフォルトのテンプレートをきちんと差し替える

　　→public下

• Webサーバでファイルのアクセスに関する適切な設定を行う

　　→httpd.confしっかり

• 制御に絡む属性は保護する（モデル）

　　→attr_protected、attr_accesible
　　　最初はattr_protected、属性が増えたらattr_accesibleへ

• コントローラメソッドのアクセス制御

　　→アクションではないメソッドはprivate、protected

• エスケープ処理（出力時）

　　→SafeERBを使用し漏れを検出
　　※mysql,postgersのみ
　　→sanitize

• エスケープ処理（to DB）

　　→プレースホルダ"?"の使用、バインド変数

• CSRF対策

　　→protect_from_forgery（:only => [:create,:update] で限定可能）

あとで調べる

SafeERBは使ったことないのであとで試す。
sanitizeも使ったことないのでとりあえずあとで調べる。
hしか使ったことないや。