Nella mia esperienza, SQL Injection è sempre una minaccia. Se i cattivi attori non penetrano tramite SQL, ottengono abbastanza dati per avviare bruteforces tramite MBASentry o eseguono l'escalation dei privilegi tramite script. Tuttavia, sfoglio siti e-mercenari come link e notiamo che supportano praticamente tutte le API oltre a Ruby.
Il nocciolo della mia domanda è il seguente: Ruby e altri forniscono una protezione sufficiente a garantire di non utilizzare misure aggiuntive.
Nessuna misura di sicurezza ha dei punti deboli nel tempo. Devi sempre avere livelli di Difesa in profondità e non fare affidamento solo su un singolo controllo di sicurezza.
Un confronto più approfondito di come i due che hai citato possano o meno rivelare se c'è una sovrapposizione nei meccanismi di protezione. Potrebbe o meno risultare che uno di essi si sovrapponga completamente all'altro in modo tale che il secondo potrebbe non sembrare fornire grandi benefici al momento dell'analisi.
Se entrambi vengono attivamente sviluppati, ci saranno molti punti nel tempo in cui una soluzione eclissa l'altra in modo tale che entrambe offriranno più protezione di una sola. A seconda degli ecosistemi di quel prodotto, ciò può accadere frequentemente.
Il mio suggerimento sarebbe di fare una valutazione approfondita di ogni prodotto, imparare con quale frequenza ottengono gli aggiornamenti (guarda la loro storia passata se possibile), e vedere se è possibile determinare che cosa tutti sono efficaci nel bloccare. Se questo è un nuovo mercato, potresti volerlo rivalutare ogni pochi mesi nel caso in cui uno diventi molto migliore dell'altro.
Infine, se possibile, è meglio avere due tipi completamente diversi di controlli di sicurezza piuttosto che due controlli dello stesso tipo. Il motivo è che se nuove classi di attacchi annullano completamente un tipo di difesa, potrebbe esserci una situazione in cui un tipo secondario di difesa può ancora funzionare. Allo stesso modo in molti, ma non in tutti i casi, è utile se il controllo di sicurezza è in esecuzione su un sistema di fronte al server che contiene i dati protetti piuttosto che su quel sistema (se il controllo stesso ha un bug non rilascia l'attaccante su la scatola con i dati).
Leggi altre domande sui tag sql-injection ruby