Doctrine 原始 sql 和准备好的语句

Question

我有一个使用准备好的语句的 Doctrine_RawSql 查询。 然而，当生成 SQL 查询时，它们似乎被忽略。 但是如果我遗漏了标记值，我会得到一个关于绑定变量数量不匹配的异常（因此它至少尝试将它们分入）。

如果我内联包含这些值，Doctrine 是否会在幕后做任何事情来防止 SQL 注入？

这是我的代码：

public function sortedPhotogsByLocation($location)
{
    $q = new Doctrine_RawSql();
    $result = $q->select('{p.*}')
            ->from('photographers p')
            ->addComponent('p', 'Photographer')
            ->where('p.city_id = ?', $location->id)
            ->orderBy('CASE WHEN p.lname < "?%" THEN 1 ELSE 0 END, p.lname ASC', $location->photographer_sort)
            ->execute();
    return $result;
}

这提供了以下 SQL 输出：

  SELECT *  
  FROM photographers p 
  WHERE p.city_id = ? 
  ORDER BY 
    CASE WHEN p.lname < "?%" THEN 1 ELSE 0 END, p.lname 
  ASC

编辑：$location 上的属性已正确设置。 如果我对参数进行硬编码：

->where('p.city_id = ?', 5)

我会遇到同样的问题，令牌未被替换。

Answer 1

我并不完全熟悉 Doctrine_RawSql，但占位符应该是单独的，而不是“？%”，只是？ 并在您传递的变量上添加％。 看一下示例#6。