やった事

• railsガイドを読んだ

 SQLについて

Active Record クエリインターフェイス - Railsガイド
SQLインジェクションの観点から、下記の記述方法はしてはいけない！

条件文字列の中に変数を直接置くと、その変数はデータベースにそのまま渡されてしまいます。

Book.where("title = # {params[:title]}")

そのほかにもwhereを使う時には気を付ける事がたくさんあったので、使う時にはrailsガイドを読み返さなくては。

 コールバックについて

難しい。。
Active Record コールバック - Railsガイド
コールバックは設定したもののアクション(createアクションなど）が実行される前に実行されるのかと思っていたが、違う様。
設定したメソッド（createアクションの中のcreateメソッド)が読み込まれる前のタイミングで実行される。

ただし、重要なビジネスルールやアプリケーションロジックがコールバックに設定されている可能性もあるので、これらのメソッドの利用には十分注意すべきです。コールバックをうかつにバイパスすると、データの不整合が発生する可能性があります。

とある！
これをやってしまった事があるので気をつけなければ！基本中の基本の様。