Hoge.find_by_name(params[:id])や、@hoge.saveはデフォルトでSQLインジェクションが回避されているのでしょうか?

回避されていない場合はどうやって回避すべきですか?