>>39 確かに、SQLインジェクションはまったく考慮してませんでした。

でも、カラム名丸出しってカッコ悪いんですか?
少なくとも初心者の自分が触れる書籍なんかのコードは大体カラム名丸出しというか、
そもそも FormBuilder がそういう HTML 吐いちゃうから当たり前なんだと思ってました。