Rails 3 позаботится об этом, но как насчет rails 2.3.x?
Нет, вам придется делать это вручную с помощью
= h "my unsafe string"
или с
= sanitize "my unsafe string"
В качестве альтернативы вы можете установить для параметра: escape_html значение true, тогда у вас будетделать
= "my unsafe string"