Si vous avez vraiment besoin d'écrire du SQL brut, vous pouvez utiliser quote
pour le désinfecter :
conn = ActiveRecord::Base.connection
name = conn.quote("John O'Neil")
title = conn.quote(nil)
query = "INSERT INTO users (name,title) VALUES (#{name}, #{title})"
conn.execute(query)