ruby-on-rails – 使用Ruby on Rails清理用户输入

我正在编写一个非常简单的CRUD应用程序,该应用程序将用户故事存储到数据库中,以便其他编码人员可以为我们正在处理的项目组织它们.但是,在将用户输入保存到数据库之前,我遇到了清理用户输入的问题.我无法从Story模型中调用sanitize()函数来去除所有的html /脚本.它要求我做以下事情：

def sanitize_inputs
  self.name =  ActionController::Base.helpers.sanitize(self.name) unless self.name.nil?
  self.story = ActionController::Base.helpers.sanitize(self.story) unless self.story.nil?
end

我想验证用户输入是否已经过消毒,我不确定两件事：
1)何时应该进行用户输入验证？在保存数据之前是非常明显的,但是,我认为,在验证用户输入没有脚本/ html标记之前,我应该在验证之前处理Controller中的这些内容,还是其他一些非显而易见的区域？
2)为此模型编写单元测试,除了将“这是恶意代码示例”与清理(示例)输出进行比较之外,如何验证脚本/ html是否被删除？

提前致谢.