update translation from andor, and restore section to en if translation missing.

Author: chloerei

source/zh-CN/action_cable_overview.md

@@ -112,7 +112,7 @@ NOTE: “\[”和“\]”这两个符号不允许出现在 URL 中，所以上
 
 此时，`params[:ids]` 的值是 `["1", "2", "3"]`。注意，参数的值始终是字符串，Rails 不会尝试转换类型。
 
-NOTE: 默认情况下，基于安全考虑，参数中的 `[nil]` 和 `[nil, nil, …​]` 会替换成 `[]`。详情参见 [Ruby on Rails 安全指南](security.html#unsafe-query-generation)。
+NOTE: 默认情况下，基于安全考虑，参数中的 `[nil]` 和 `[nil, nil, …​]` 会替换成 `[]`。详情参见 [Ruby on Rails 安全指南](security.html#生成不安全的查询)。
 
 若想发送一个散列，要在方括号内指定键名：
 

source/zh-CN/action_controller_overview.md

@@ -473,7 +473,7 @@ Client.where("orders_count = #{params[:orders]}")
 
 原因是出于参数的安全性考虑。把变量直接放入条件字符串会导致变量原封不动地传递给数据库，这意味着即使是恶意用户提交的变量也不会被转义。这样一来，整个数据库就处于风险之中，因为一旦恶意用户发现自己能够滥用数据库，他就可能做任何事情。所以，永远不要把参数直接放入条件字符串。
 
-TIP: 关于 SQL 注入的危险性的更多介绍，请参阅 [安全指南](security.html#sql-injection)。
+TIP: 关于 SQL 注入的危险性的更多介绍，请参阅 [安全指南](security.html#SQL 注入)。
 
 #### 条件中的占位符
 

source/zh-CN/active_record_querying.md

@@ -1117,7 +1117,7 @@ NOTE: 在 `active_support/core_ext/class/subclasses.rb` 文件中定义。
 
 #### 引子
 
-把数据插入 HTML 模板要格外小心。例如，不能原封不动地把 `@review.title` 内插到 HTML 页面中。假如标题是“Flanagan & Matz rules!”，得到的输出格式就不对，因为 & 会转义成“&”。更糟的是，如果应用编写不当，这可能留下严重的安全漏洞，因为用户可以注入恶意的 HTML，设定精心编造的标题。关于这个问题的详情，请阅读 [安全指南](security.html#cross-site-scripting-xss)对跨站脚本的说明。
+把数据插入 HTML 模板要格外小心。例如，不能原封不动地把 `@review.title` 内插到 HTML 页面中。假如标题是“Flanagan & Matz rules!”，得到的输出格式就不对，因为 & 会转义成“&”。更糟的是，如果应用编写不当，这可能留下严重的安全漏洞，因为用户可以注入恶意的 HTML，设定精心编造的标题。关于这个问题的详情，请阅读 [安全指南](security.html#跨站脚本（XSS）)对跨站脚本的说明。
 
 #### 安全字符串